在苹果及微软相继发布安全更新修补旗下软件漏洞的同时,Google也修补了2个已经发生开采活动的Chrome漏洞。
Google是在周一针对Windows、Mac及Linux发布稳定版Chrome 93.0.4577.82,以解决11项漏洞。其中2个漏洞包括CVE-2021-30632和CVE-2021-30633,Google警告已经有攻击程序在网络上流传。
两个零时差漏洞,CVE-2021-30632和CVE-2021-30633通报身份皆被列为“匿名”。其中CVE-2021-30632是位于V8 JavaScript引擎中的越界写入(out of bounds write)漏洞。CVE-2021-30633则位于Indexed DB API的使用已释放内存(use after free)漏洞。
Google并未说明两个漏洞或攻击活动的细节。不过ThreatPost报道,越界写入漏洞可能造成资料毁损、程序宕掉或是程序代码执行。而使用已释放内存漏洞的灾情,可以从资料毁损到任意程序代码执行不等。
此外,V8 JavaScript引擎同时也包含在Chromium-based浏览器,因此这项漏洞也可能影响Edge、Brave、Opera等其他浏览器。
其他漏洞皆属于高风险漏洞,分别影响Chrome中的Blink引擎、ANGLE、Selection API及访问许可Permissions组件。
Google表示,所有PC机平台的新版Chrome,将在未来几天到几周内部署给用户。
安全专家也警告,一旦漏洞披露,攻击活动也会接踵而来,因此用户最好尽快更新到最新版本以免受黑。