Google 在周二向用户推送了 Chrome 浏览器的补充更新,更新后版本号升至 92.0.4515.159,该版本为 Chrome 浏览器修复了 9 个漏洞,其中有 7 个漏洞是由外部安全研究人员所发现的。该更新适用于 Windows、Mac 和 Linux。
Google 将漏洞分成了四个等级,此次修复的漏洞不包含四个等级中最高的「严重」漏洞,所有七个都被评为第二级的「高风险」漏洞。这 7 个漏洞的 CVE ID 分别是:
- CVE-2021-30598
- CVE-2021-30599
- CVE-2021-30600
- CVE-2021-30601
- CVE-2021-30602
- CVE-2021-30603
- CVE-2021-30604
其中 CVE-2021-30598 和 CVE-2021-30599,两者均是 V8 JavaScript 引擎中的类型混淆问题,由研究人员 Manfred Paul 在 7 月发现并报告。
类型混淆漏洞通常可以通过诱使目标用户访问一个恶意网站而被利用,它们允许攻击者在网页渲染过程中实现任意代码的执行。成功利用此漏洞可能会导致易受攻击的系统完全受到攻击。Google 为这两个安全漏洞分别向 Paul 支付了 21000 美元,合计 42000 美元。
Google 还修复了 Chrome 浏览器 Printing 中的一个 UAF 漏洞(CVE-2021-30600)和 Extensions API 中的另一个漏洞(CVE-2021-30601),这两个漏洞均由 360 Alpha Lab 的安全研究人员报告。而 Google 为这两个漏洞又分别支付了 2 万美元的漏洞赏金,合计 4 万美元。
为了最大限度的保护用户,防止上述这些漏洞被不法分子利用从而引发大规模的风险,Google 会在大多数用户更新该补丁之前,对漏洞的详细信息进行保留。在当前情况下,目前没有任何报告显示上述漏洞有被利用的迹象。
Google 尚未透露另外几个漏洞的赏金数额 —— 它们分别是 WebRTC 的 UAF 漏洞(CVE-2021-30602),ANGLE 的 UAF 漏洞(CVE-2021-30604)。此外还有一个 WebAudio(CVE-2021-30603)中的竞争条件漏洞(Race Condition)。
需要用户注意的是,上述这些漏洞不只会影响 Chrome 浏览器,其他属于相同架构的 Edge、Brave、Vivaldi 等浏览器同样也是攻击对象,用户最好确认浏览器已更新到最新版本,避免遭到恶意攻击导致个人信息及资料泄漏。
用户可以通过菜单选项 「帮助」->「关于 Chrome 浏览器」手动更新 Chrome 来修复上述问题。对浏览器安全有研究的开发者可以点击链接查看 Chrome 漏洞悬赏计划的详细规则,顺便赚点“零花钱”。
