继二月及本月初后,Google本周再发布ChromePC机版更新,以修补3个程序代码执行漏洞,包括一个已遭开采的零时差漏洞。
Windows、Mac及Linux版本的89.0.4389.90版,已通过稳定(Stable)信道发布。最新更新包含5项安全修补程序,其中3个为高度风险,包括CVE-2021-21191、CVE-2021-21192及CVE-2021-21193。
Google以安全为由,在大多数用户升级前不公开漏洞信息,不过捷克安全厂商Cybersecurity Help仍提供了部分说明。
其中CVE-2021-21191存在WebRTC组件中,攻击者若能诱使用户点击打开恶意网站,即能触发使用已释放内存(Use-After-Free)错误,并在受害系统上执行任意程序代码。CVE-2021-21192是微软浏览器安全研究中心通报,出现在Chrome分页群组功能中,若用户连上远程攻击者设立的恶意网站,将可触发堆积缓冲溢出(heap buffer overflow),让攻击者在其计算机上执行任意程序代码。
第三项漏洞CVE-2021-21193则位于Chrome的Blink图像运算引擎,也是通过诱使用户访问恶意网站,来触发使用已释放内存错误,进而执行任意程序代码。和前面两者不同的是,CVE-2021-21193已经有不明开采活动。这是本月第二起,也是今年第三个遭到开采的零时差漏洞。
3项漏洞影响Google Chrome 86到89版,Google也呼吁用户尽快安装更新版。
领取专属 10元无门槛券
私享最新 技术干货