[[380990]]

Google 于 2 月 5 日發(fā)布了針對 Windows、Mac 和 Linux 用戶的 Chrome 小版本更新，更新后 Chrome 的版本號來到了 88.0.4324.150。在這個版本中 Google 解決了一個已被利用的零日安全漏洞(zero-day vulnerability)。

這個被 Google 評定為高度嚴(yán)重的漏洞被命名為 CVE-2021-21148，并且在 2021 年 1 月 24 日由 Google Project Zero 的安全研究員 Mattias Buelens 所提交。

這個零日漏洞被描述為 V8 中的堆緩沖區(qū)溢出錯誤，V8 是一個 Google 開源的，并基于 C++ 的高性能 WebAssembly 和 JavaScript 引擎。盡管緩沖區(qū)溢出通常會導(dǎo)致瀏覽器崩潰，但攻擊者仍然可以利用緩沖區(qū)溢出在運行了存在漏洞的軟件的系統(tǒng)上執(zhí)行任意代碼。

Google 在 Chrome 88.0.4324.150 更新公告中寫道：“ Google 已了解到有報告指出存在針對 CVE-2021-21148 漏洞的利用”。盡管如此，但 Google 并未提供有關(guān)這些攻擊背后的任何詳細(xì)信息。

Google 還補充表示：“在大多數(shù)用戶使用修補程序更新之前，對錯誤詳細(xì)信息和鏈接的訪問可能會受到限制。如果該問題存在于尚未修復(fù)的第三方庫中，并且其他項目同樣依賴于這些庫，我們還將持續(xù)保留這些限制。”

這個舉措應(yīng)該可以為 Chrome 用戶提供更多的時間來安裝發(fā)布的安全更新。Windows、Mac 和 Linux 桌面用戶可以通過轉(zhuǎn)到「設(shè)置」 ->「幫助」 -> 「關(guān)于 Google Chrome」 升級到最新版本的 Chrome。Chrome 瀏覽器也會自動檢查更新并在可用時進行安裝。

Google 也曾在去年 10 月 20 日至 11 月 12 日的一個月時間內(nèi)，修復(fù)了五個 Chrome 零日漏洞。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Google 再次修復(fù) Chrome 零日漏洞

本文地址：https://www.oschina.net/news/129184/google-fixes-chrome-zero-day-vulnerability