Google 在周二向用戶推送了 Chrome 瀏覽器的補充更新，更新后版本號升至 92.0.4515.159，該版本為 Chrome 瀏覽器修復(fù)了 9 個漏洞，其中有 7 個漏洞是由外部安全研究人員所發(fā)現(xiàn)的。該更新適用于 Windows、Mac 和 Linux。

Google 將漏洞分成了四個等級，此次修復(fù)的漏洞不包含四個等級中最高的「嚴(yán)重」漏洞，所有七個都被評為第二級的「高風(fēng)險」漏洞。這 7 個漏洞的 CVE ID 分別是：

• CVE-2021-30598
• CVE-2021-30599
• CVE-2021-30600
• CVE-2021-30601
• CVE-2021-30602
• CVE-2021-30603
• CVE-2021-30604

其中 CVE-2021-30598 和 CVE-2021-30599，兩者均是 V8 JavaScript 引擎中的類型混淆問題，由研究人員 Manfred Paul 在 7 月發(fā)現(xiàn)并報告。

類型混淆漏洞通常可以通過誘使目標(biāo)用戶訪問一個惡意網(wǎng)站而被利用，它們允許攻擊者在網(wǎng)頁渲染過程中實現(xiàn)任意代碼的執(zhí)行。成功利用此漏洞可能會導(dǎo)致易受攻擊的系統(tǒng)完全受到攻擊。Google 為這兩個安全漏洞分別向 Paul 支付了 21000 美元，合計 42000 美元。

Google 還修復(fù)了 Chrome 瀏覽器 Printing 中的一個 UAF 漏洞(CVE-2021-30600)和 Extensions API 中的另一個漏洞(CVE-2021-30601)，這兩個漏洞均由 360 Alpha Lab 的安全研究人員報告。而 Google 為這兩個漏洞又分別支付了 2 萬美元的漏洞賞金，合計 4 萬美元。

為了最大限度的保護(hù)用戶，防止上述這些漏洞被不法分子利用從而引發(fā)大規(guī)模的風(fēng)險，Google 會在大多數(shù)用戶更新該補丁之前，對漏洞的詳細(xì)信息進(jìn)行保留。在當(dāng)前情況下，目前沒有任何報告顯示上述漏洞有被利用的跡象。

Google 尚未透露另外幾個漏洞的賞金數(shù)額 —— 它們分別是 WebRTC 的 UAF 漏洞(CVE-2021-30602)，ANGLE 的 UAF 漏洞(CVE-2021-30604)。此外還有一個 WebAudio(CVE-2021-30603)中的競爭條件漏洞(Race Condition)。

需要用戶注意的是，上述這些漏洞不只會影響 Chrome 瀏覽器，其他屬于相同架構(gòu)的 Edge、Brave、Vivaldi 等瀏覽器同樣也是攻擊對象，用戶最好確認(rèn)瀏覽器已更新到最新版本，避免遭到惡意攻擊導(dǎo)致個人信息及資料泄漏。

用戶可以通過菜單選項 「幫助」->「關(guān)于 Chrome 瀏覽器」手動更新 Chrome 來修復(fù)上述問題。對瀏覽器安全有研究的開發(fā)者可以點擊鏈接查看 Chrome 漏洞懸賞計劃的詳細(xì)規(guī)則，順便賺點“零花錢”。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Google 高額懸賞 4 個 Chrome 漏洞，每個價值 2 萬美元

本文地址：https://www.oschina.net/news/156187/google-awards-chrome-researchers