【安全风险通告】谷歌 V8 JavaScript引擎堆溢出漏洞安全风险通告

  • A+
所属分类:安全漏洞
【安全风险通告】谷歌 V8 JavaScript引擎堆溢出漏洞安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信 CERT 监测到谷歌官方发布关于 Chrome 浏览器漏洞补丁,漏洞编号 CVE-2021-21148 ,漏洞影响版本低于 88.0.4324.150 的 Chrome 浏览器以及基于 Chromium 开发的版本低于 88.0.705.63 的 Microsoft Edge 浏览器。如若成功利用此漏洞,可能造成远程代码执行。目前更多细节暂未披露,但据传该漏洞正在被广泛利用。鉴于漏洞危害较大,建议用户及时安装更新补丁。




当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

已公开

未知

已发现




漏洞描述

近日,谷歌官方发布最新的 Chrome 正式版本(88.0.4324.150),修复了关于谷歌 V8 JavaScript 引擎的堆溢出漏洞(CVE-2021-21148),该漏洞影响 Chrome 浏览器以及基于 Chromium 开发的版本低于 88.0.705.63 的 Microsoft Edge 浏览器。如若成功利用此漏洞,可能造成远程代码执行。据传该漏洞正在被广泛利用,目前暂未有更多细节披露,建议用户及时安装更新补丁。



风险等级

奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)



影响范围

Chrome < 88.0.4324.150

Microsoft Edge < 88.0.705.63



处置建议

1、升级Chrome 浏览器至 88.0.4324.150 版本:

Chrome 浏览器中打开 chrome://settings/help ,检查更新,升级,重新启动浏览器即可。

2、更新 Microsoft Edge 浏览器至88.0.705.63版本:

 Microsoft Edge 浏览器中打开edge://settings/help ,检查更新,升级,重新启动浏览器即可。

或直接下载最新版本:https://www.microsoftedgeinsider.com/en-gb/download



产品解决方案

奇安信天擎终端安全管理系统解决方案:

一、修补方案

对于安装Google Chrome浏览器和Microsoft Edge(Chrome核)的客户,需要尽快升级至以下版本:

浏览器 信息 升级方式
Google Chrome 88.0.4324.105 企业软件管家
或 手动升级

Microsoft Edge

(Chrome核)

88.0.705.63 动升

参考信息:

https://chromereleases.googleblog.com/2021/02/stable-channel-update-for-desktop_4.html

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21148


二、升级新版

1. Google Chrome浏览器

1.1 通过“天擎企业软件管家”升级

“天擎企业软件管家”已推送Google Chrome浏览器最新版本,升级安装即可。

 

【安全风险通告】谷歌 V8 JavaScript引擎堆溢出漏洞安全风险通告



1.2 手动升级

通过“Google Chrome”菜单选择“帮助”->“关于Google Chrome(G)”进行手动升级。

【安全风险通告】谷歌 V8 JavaScript引擎堆溢出漏洞安全风险通告

【安全风险通告】谷歌 V8 JavaScript引擎堆溢出漏洞安全风险通告

 

2. Microsoft Edge(Chrome核)浏览器

2.1 手动升级

通过“Microsoft Edge”菜单选择“帮助和反馈”->“关于Microsoft Edge(M)”进行手动升级。

【安全风险通告】谷歌 V8 JavaScript引擎堆溢出漏洞安全风险通告

【安全风险通告】谷歌 V8 JavaScript引擎堆溢出漏洞安全风险通告




参考资料

[1] https://thehackernews.com/2021/02/new-chrome-browser-0-day-under-active.html

[2] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-21148




时间线

2020年2月7日,奇安信 CERT发布安全风险通告





【安全风险通告】谷歌 V8 JavaScript引擎堆溢出漏洞安全风险通告

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


本文始发于微信公众号(奇安信 CERT):【安全风险通告】谷歌 V8 JavaScript引擎堆溢出漏洞安全风险通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: