谷歌修复又一枚遭在野利用的 Chrome 0day

  • A+
所属分类:安全新闻

谷歌修复又一枚遭在野利用的 Chrome 0day 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队


谷歌修复了 Chrome 89.0.4389.72 版本中已遭活跃利用的 0day (CVE-2021-21166)。该版本已向所有用户推出。
谷歌修复又一枚遭在野利用的 Chrome 0day
谷歌修复又一枚遭在野利用的 Chrome 0day

用户可到 Settings -> Help -> About Google Chrome 修复该漏洞。Chrome Web 浏览器之后会自动检查新的更新并适时安装。


谷歌修复又一枚遭在野利用的 Chrome 0day
评级为“高危“,详情未发布

谷歌将该 0day 评级为“高危“,称其为”音频中的 Object 生命周期问题“。该漏洞是由微软浏览器漏洞研究团队的研究员 Alison Huffman 在2021年2月11日提交的。

尽管谷歌表示已发现在野利用的情况,但并未公开任何关于幕后黑手的情况,“大多数用户修复该漏洞之前,不会公开漏洞详情和相关链接。如果其它项目所依赖的第三方库中存在该漏洞且并未修复,则详情和链接发布仍然会受限”。这将阻止其它威胁行动者攻击该0day。

在漏洞修复前,Chrome 用户应尽快修复。


谷歌修复又一枚遭在野利用的 Chrome 0day
开年修复的第二个 0day

谷歌曾在今年2月份修复了另外一个已遭利用的 0day (CVE-2021-2114)。它是存在于 V8 中的堆缓冲区溢出漏洞。去年,谷歌仅在一个月内就修复了5个 Chrome 0day。另外,Chrome 新版本还修复了47个其它由外部研究员报告的 0day。

谷歌修复又一枚遭在野利用的 Chrome 0day
修复安卓系统中的 RCE 漏洞


另外,谷歌还在三月修复日修复了37个漏洞,其中包括 System 组件中一个严重的 RCE 漏洞 (CVE-2021-0397)。

CVE-2021-0397 影响 Android 8.1、9、10 和 11 版本,可导致攻击者在易受攻击设备上远程执行代码。该漏洞位于 System 组件中,远程攻击者可利用特殊构造的传输在提权进程上下文中执行任意代码。

谷歌还修复了 System 组件中的其它6个高危漏洞,其中1个影响 Android 运行时,2个影响 Framework。另外还修复了27个高危漏洞,其中1个位于 Kernel 组件、4个位于高通组件以及22个位于高通闭源组件中。






推荐阅读

谷歌修复已遭利用的 Chrome 0day
0day影响 Chrome和 Safari,谷歌不修复
谷歌再修复已遭利用的两个高危 Chrome 0day



原文链接

https://www.bleepingcomputer.com/news/security/google-fixes-second-actively-exploited-chrome-zero-day-bug-this-year/

https://www.securityweek.com/google-patches-critical-remote-code-execution-vulnerability-android


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



谷歌修复又一枚遭在野利用的 Chrome 0day
谷歌修复又一枚遭在野利用的 Chrome 0day

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

   谷歌修复又一枚遭在野利用的 Chrome 0day 觉得不错,就点个 “在看” 或 "” 吧~


本文始发于微信公众号(代码卫士):谷歌修复又一枚遭在野利用的 Chrome 0day

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: