APP下载

Google Chrome修补今年第三个遭开采的零时差漏洞

消息来源:baojiabao.com 作者: 发布时间:2024-03-19

报价宝综合消息Google Chrome修补今年第三个遭开采的零时差漏洞

情境示意图

继二月及本月初后,Google本周再释出Chrome桌机版更新,以修补3个程式码执行漏洞,包括一个已遭开采的零时差漏洞。

Windows、Mac及Linux 版本的89.0.4389.90 版,已透过稳定(Stable)通道释出。最新更新包含5项安全修补程式,其中3个为高度风险,包括CVE-2021-21191、CVE-2021-21192及CVE-2021-21193。

Google以安全为由,在大多数用户升级前不公开漏洞资讯,不过捷克安全厂商Cybersecurity Help仍提供了部分说明。

其中CVE-2021-21191存在WebRTC元件中,攻击者若能诱使用户点选开启恶意网站,即能触发使用已释放内存(Use-After-Free)错误,并在受害系统上执行任意程式码。CVE-2021-21192是微软浏览器安全研究中心通报,出现在Chrome分页群组功能中,若使用者连上远端攻击者设立的恶意网站,将可触发堆积缓冲溢位(heap buffer overflow),让攻击者在其电脑上执行任意程式码。

第三项漏洞CVE-2021-21193则位于Chrome的Blink算图引擎,也是透过诱使用户造访恶意网站,来触发使用已释放内存错误,进而执行任意程式码。和前面两者不同的是,CVE-2021-21193已经有不明开采活动。这是本月第二起,也是今年第三个遭到开采的零时差漏洞。

3项漏洞影响Google Chrome 86到89版,Google也呼吁用户尽速安装更新版。

2021-03-16 14:48:00

相关文章