Google 在周二向用戶推送了 Chrome 瀏覽器的補充更新,更新后版本號升至 92.0.4515.159�,該版本為 Chrome 瀏覽器修復了 9 個漏洞,其中有 7 個漏洞是由外部安全研究人員所發(fā)現(xiàn)的����。該更新適用于 Windows、Mac 和 Linux�。
Google 將漏洞分成了四個等級,此次修復的漏洞不包含四個等級中最高的「嚴重」漏洞�����,所有七個都被評為第二級的「高風險」漏洞��。這 7 個漏洞的 CVE ID 分別是:
CVE-2021-30598
CVE-2021-30599
CVE-2021-30600
CVE-2021-30601
CVE-2021-30602
CVE-2021-30603
CVE-2021-30604
其中 CVE-2021-30598 和 CVE-2021-30599�����,兩者均是 V8 java script 引擎中的類型混淆問題�����,由研究人員 Manfred Paul 在 7 月發(fā)現(xiàn)并報告。
類型混淆漏洞通���?梢酝ㄟ^誘使目標用戶訪問一個惡意網(wǎng)站而被利用����,它們允許攻擊者在網(wǎng)頁渲染過程中實現(xiàn)任意代碼的執(zhí)行���。成功利用此漏洞可能會導致易受攻擊的系統(tǒng)完全受到攻擊���。Google 為這兩個安全漏洞分別向 Paul 支付了 21000 美元,合計 42000 美元�����。
Google 還修復了 Chrome 瀏覽器 Printing 中的一個 UAF 漏洞(CVE-2021-30600)和 Extensions API 中的另一個漏洞(CVE-2021-30601)���,這兩個漏洞均由 360 Alpha Lab 的安全研究人員報告����。而 Google 為這兩個漏洞又分別支付了 2 萬美元的漏洞賞金��,合計 4 萬美元�����。
為了最大限度的保護用戶�����,防止上述這些漏洞被不法分子利用從而引發(fā)大規(guī)模的風險���,Google 會在大多數(shù)用戶更新該補丁之前�����,對漏洞的詳細信息進行保留�。在當前情況下����,目前沒有任何報告顯示上述漏洞有被利用的跡象。
Google 尚未透露另外幾個漏洞的賞金數(shù)額 —— 它們分別是 WebRTC 的 UAF 漏洞(CVE-2021-30602)�,ANGLE 的 UAF 漏洞(CVE-2021-30604)。此外還有一個 WebAudio(CVE-2021-30603)中的競爭條件漏洞(Race Condition)����。
需要用戶注意的是,上述這些漏洞不只會影響 Chrome 瀏覽器�����,其他屬于相同架構的 Edge、Brave����、Vivaldi 等瀏覽器同樣也是攻擊對象,用戶最好確認瀏覽器已更新到最新版本�,避免遭到惡意攻擊導致個人信息及資料泄漏。
用戶可以通過菜單選項 「幫助」->「關于 Chrome 瀏覽器」手動更新 Chrome 來修復上述問題��。對瀏覽器安全有研究的開發(fā)者可以點擊鏈接查看 Chrome 漏洞懸賞計劃的詳細規(guī)則�,順便賺點“零花錢”。
本文轉自OSCHINA
本文標題:Google 高額懸賞 4 個 Chrome 漏洞�����,每個價值 2 萬美元
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
