GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

2021年Google Chrome 7个在野利用0day

颁布功夫 2021-06-11

0x00 缝隙概述

2021年06月09日，Google颁布了合用于 Windows、Mac 和 Linux 的 Chrome 91.0.4472.101 版本，该版本建复了蕴含被在野利用的CVE-2021-30551和严沉的CVE-2021-30544在内的14 个安全缝隙。

0x01 缝隙详情

2021年以来，Google总共建复了7个被在野利用的Chrome 0day缝隙，这些缝隙涉及V8 开源JavaScript 引擎、Blink等。

CVE-2021-21148 - V8 中的堆缓冲区溢露马脚

2021年2月4日：该缝隙是Google V8 JavaScript 渲染引擎中的堆缓冲区溢露马脚，Google已经在合用于 Windows、Mac 和 Linux 的88.0.4324.150及更高版本中建复了此缝隙。

CVE-2021-21166 - 音频中的对象回收问题

2021 年 3 月 2 日：该缝隙是微软浏览器缝隙钻研中心的艾莉森·霍夫曼 (Alison Huffman) 于 2 月 11日汇报的两个缝隙之一，Google已经在合用于Windows、Mac和Linux的Chrome 89.0.4389.72及更高版本中建复了蕴含此缝隙在内的47个安全缝隙。

CVE-2021-21193 - Blink 中的 Use-after-free

2021 年 3 月 12 日：该缝隙是Blink 渲染引擎中的一个UAF缝隙，该缝隙的CVSS 评分为 8.8，远程攻击者可利用此缝隙造成回绝服务或在指标系统上执行肆意代码。Google已在合用于 Windows、Mac 和 Linux 的 89.0.4389.90及更高版本中建复了此缝隙。

CVE-2021-21206 - Blink 中的 Use-after-free和CVE-2021-21220 - 对 x86_64 的 V8 中不成信输入的验证不及

2021 年 4 月 13 日：CVE-2021-21220是Pwn2Own 2021较量中发现的V8 JavaScript 渲染引擎中的不成信输入验证不及缝隙。CVE-2021-21206是一位匿名钻研员于4 月 7 日汇报给Google的UAF缝隙。

CVE-2021-21224 - V8 中的类型混合

2021 年 4 月 20日：该缝隙是安全钻研员 Jose Martinez 于 4 月 5 日向Google汇报的 V8 开源 JavaScript 引擎中的类型混合缝隙，在执行整数数据类型转换时会触发缝隙 [ 1195777 ]，导致越界，最终可实现肆意内存读写。该缝隙的PoC于4 月 14 日被钻研人员frust公开颁布(其利用了V8 源代码中已建复的问题，但该补丁并未集成到 Chromium 代码库和所有依赖它的浏览器中，例如 Chrome、Microsoft Edge、Brave、Vivaldi 和 Opera)。Google已在合用于 Windows、Mac 和 Linux 的Chrome 90.0.4430.85及更高版本中建复了蕴含此缝隙在内的7个安全缝隙。

CVE-2021-30551 - V8开源JavaScript引擎中的类型混合

2021年6月9日：该缝隙是Google Project Zero 的 Sergei Glazunov 发现并汇报的，Google暗示，该缝隙是由滥用CVE-2021-33742（微软6月8日的补丁星期二中建复的Windows MSHTML平台中的RCE缝隙）的统一个攻击者利用的。这2个0day听说是由一个贸易缝隙经纪人提供给一个民族国度攻击者的，以便攻击者利用它们对东欧和中东的指标进行攻击。Google已在合用于 Windows、Mac 和 Linux 的Chrome 91.0.4472.101版本中建复了蕴含此缝隙和严沉的CVE-2021-30544在内的14个安全缝隙。

0x02 措置建议

Chrome 用户能够通过前往“设置”>“援手”>“关于 Google Chrome”来更新到最新版本 (91.0.4472.101)，以降低与这些缝隙有关的风险。

0x03 参考链接

https://amp.thehackernews.com/thn/2021/06/new-chrome-0-day-bug-under-active.html

https://thehackernews.com/2021/04/2-new-chrome-0-days-under-attack-update.html

https://www.bleepingcomputer.com/news/security/google-fixes-sixth-chrome-zero-day-exploited-in-the-wild-this-year/

0x04 功夫线

2021-06-09 Google颁布安全更新

2021-06-11 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】