由於高度安全的零日漏洞,谷歌已將 Chrome 更新到適用於 Windows、Mac 和 Linux 的 96.0.4664.110 版本,並在穩定的渠道上進行了驗證,該漏洞已被公司確認在野外被利用。根據公告,更新可能需要一段時間才能到達所有人,但我們能夠立即在我們的測試系統上獲得更新。
該更新包含五個修復,您可以在下面看到,以及相應的披露獎勵。
- [$ NA] [ 1263457 ] 嚴重 CVE-2021-4098:Mojo 中的數據驗證不足。這是谷歌零項目的謝爾蓋格拉祖諾夫宣布的,2021-10-26
- [$ 5000] [ 1270658 ] 高 CVE-2021-4099:在 Swiftshader 中免費使用後使用。Solita 的 Aki Helin 於 2021 年 11 月 16 日報導。
- [$ 5000] [ 1272068 ] 高 CVE-2021-4100:ANGLE 中的對像生命週期問題。Solita 的 Aki Helin 報導 2021-11-19
- [$ TBD] [ 1262080 ] 高 CVE-2021-4101:Swiftshader 中的堆緩衝區溢出。這是 Abraruddin Khan 和 Omayr 於 2021 年 10 月 21 日報導的。
- [$ TBD] [ 1278387 ] 高 CVE-2021-4102:在 V8 中免費使用後使用。匿名者於 2021-12-09 報導。
谷歌還指出,“在大多數用戶更新修補程序之前,對錯誤詳細信息和鏈接的訪問可能會受到限制。如果該錯誤存在於其他項目類似依賴的第三方庫中,但尚未“尚未修復”,我們還將保留這些限制。這可能是指 CVE-2021-4102,據搜索巨頭稱,它已經在野外被積極利用。
據最先註意到這一點的 Bleeping Computer 稱,這是該公司今年修補的第 16 個此類零日漏洞,這也並不少見。其餘 15 個零日(在 2021 年更正)如下:
- CVE-2021-21148 – 2 月 4 日
- CVE-2021-21166 – 3 月 2 日
- CVE-2021-21193 – 3 月 12 日
- CVE-2021-21220 – 4 月 13 日
- CVE-2021-21224 – 4 月 20 日
- CVE-2021-30551 – 6 月 9 日
- CVE-2021-30554 – 6 月 17 日
- CVE-2021-30563 – 7 月 15 日
- CVE-2021-30632 和 CVE-2021-30633 – 9 月 13 日。
- CVE-2021-37973 – 9 月 24 日
- CVE-2021-37976 和 CVE-2021-37975 – 9 月 30 日。
- CVE-2021-38000 和 CVE-2021-38003 – 10 月 28 日
您可能還記得,上個月發布 Chrome 96 時,人們發現 Chrome 97 直到 1 月的第一周才會發布,這使得修補當前版本變得更加重要。
您可以通過轉到 Chrome 菜單 > 幫助 > 關於 Google Chrome 來檢查更新是否可用。瀏覽器還將自動檢查最新更新,如果可用,安裝並提供重新啟動選項,之後將應用更新。
資料來源:谷歌通過Bleeping Computer
發佈留言