聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
用户可到 Settings -> Help -> About Google Chrome 修复该漏洞。Chrome Web 浏览器之后会自动检查新的更新并适时安装。
谷歌将该 0day 评级为“高危“,称其为”音频中的 Object 生命周期问题“。该漏洞是由微软浏览器漏洞研究团队的研究员 Alison Huffman 在2021年2月11日提交的。
尽管谷歌表示已发现在野利用的情况,但并未公开任何关于幕后黑手的情况,“大多数用户修复该漏洞之前,不会公开漏洞详情和相关链接。如果其它项目所依赖的第三方库中存在该漏洞且并未修复,则详情和链接发布仍然会受限”。这将阻止其它威胁行动者攻击该0day。
在漏洞修复前,Chrome 用户应尽快修复。
谷歌曾在今年2月份修复了另外一个已遭利用的 0day (CVE-2021-2114)。它是存在于 V8 中的堆缓冲区溢出漏洞。去年,谷歌仅在一个月内就修复了5个 Chrome 0day。另外,Chrome 新版本还修复了47个其它由外部研究员报告的 0day。
另外,谷歌还在三月修复日修复了37个漏洞,其中包括 System 组件中一个严重的 RCE 漏洞 (CVE-2021-0397)。
CVE-2021-0397 影响 Android 8.1、9、10 和 11 版本,可导致攻击者在易受攻击设备上远程执行代码。该漏洞位于 System 组件中,远程攻击者可利用特殊构造的传输在提权进程上下文中执行任意代码。
谷歌还修复了 System 组件中的其它6个高危漏洞,其中1个影响 Android 运行时,2个影响 Framework。另外还修复了27个高危漏洞,其中1个位于 Kernel 组件、4个位于高通组件以及22个位于高通闭源组件中。
https://www.bleepingcomputer.com/news/security/google-fixes-second-actively-exploited-chrome-zero-day-bug-this-year/
https://www.securityweek.com/google-patches-critical-remote-code-execution-vulnerability-android
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
本文始发于微信公众号(代码卫士):谷歌修复又一枚遭在野利用的 Chrome 0day
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论