导读 谷歌正在为Chrome 89准备一个新的更新,此前在野外发现了另一个利用其开源JavaScript和Web汇编引擎V8中的漏洞的漏洞。总体而言,新更新解
谷歌正在为Chrome 89准备一个新的更新,此前在野外发现了另一个利用其开源JavaScript和Web汇编引擎V8中的漏洞的漏洞。总体而言,新更新解决了两个漏洞,这些漏洞影响了V8和Chrome的渲染引擎Blink。早在一月份,发现V8遭受了高严重性堆缓冲区溢出内存损坏bug的困扰。
但是,现在,正在解决一个新的V8漏洞(跟踪为CVE-2021-21220)以及Blink中的“售后使用”错误(跟踪为CVE-2021-21206)。
Blink漏洞最初是由Dataflow Security的Bruno Keith和Niklas Baumstark在“零日倡议”最近的Pwn2Own竞赛中发现的。尽管他们没有发布任何概念验证(PoC)代码,但安全研究人员Rajvardhan Agarwal开发了该漏洞的一种利用,并于最近在Twitter上发布了该漏洞。
Google在Chrome Releases博客的新帖子中解释说,针对Blink漏洞和V8漏洞的攻击“存在于野外”。
虽然Chrome的稳定通道已针对Windows,Mac和Linux版本的浏览器以及89.0.4389.128版本进行了更新,但预计在未来几天/几周内将推出,但网络分子仍可以尝试利用这些漏洞进行攻击。这是因为具有高级编码技能的网络罪犯经常尝试对补丁进行反向工程,以发现他们所保护的内容,从而使他们可以针对未打补丁的部署。
Google Chrome浏览器的用户应在可用时将其浏览器更新为最新版本,以保护自己免受利用这些漏洞的任何潜在利用。