谷歌紧急修复已遭在野利用的高危 V8 0day (CVE-2021-4102)

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

谷歌为 Windows、Mac 和 Linux 系统发布 Chrome 96.0.4664.110 版本，修复一个已遭在野利用的位于V8 JavaScript 引擎中的 0day (CVE-2021-4102)。

谷歌表示，“已注意到在野出现CVE-2021-4102的 exploit 报告。“虽然谷歌表示安全更新到达所有用户手中还需要一段时间，不过已经开始在稳定桌面版频道向全球推出Chrome 96.0.4664.110版本。

用户可通过“Chrome menu > Help > About Google Chrome“路径找到更新。Chrome 浏览器将自动检查最近发布的更新并在下一次启动时自动更新。

01

0day 利用详情未披露

该漏洞 (CVE-2021-4102) 是由匿名安全研究员发现的，它是位于 Chrome 开源JavaScript 引擎V8中的一个释放后使用弱点。攻击者通常利用释放后使用漏洞在运行未修复Chrome 版本的计算机上执行任意代码或逃逸Chrome 的安全沙箱。

虽然谷歌表示已检测到该0day 的在野利用攻击，但并未分享更多详情，为大多数用户修复漏洞争取时间。

02

今年修复的第16个 Chrome 0day

这是谷歌今年以来解决的第16个 Chrome 0day 漏洞。

Chrome 解决的其它15个0day 如下：

• CVE-2021-21148 – 2月4日

• CVE-2021-21166 – 3月2日

• CVE-2021-21193 – 3月12日

• CVE-2021-21220 – 4月13日

• CVE-2021-21224 – 4月20日

• CVE-2021-30551 – 6月9日

• CVE-2021-30554 – 6月17日

• CVE-2021-30563 – 7月15日

• CVE-2021-30632 和 CVE-2021-30633 – 9月13日

• CVE-2021-37973 – 9月24日

• CVE-2021-37976 和 CVE-2021-37975 – 9月30日

• CVE-2021-38000 and CVE-2021-38003 – 10月28日

由于该0day 已遭在野利用，因此强烈建议用户今早安装 Chrome 更新。

推荐阅读

谷歌Chrome 紧急修复已遭利用的两个0day

尽快更新！Chrome 修复两个已遭在野利用的 0day

谷歌紧急修复已遭在野利用的Chrome 0day

因中间件问题重重，谷歌暂停Chrome的量子安全功能

原文链接

https://www.bleepingcomputer.com/news/security/google-pushes-emergency-chrome-update-to-fix-zero-day-used-in-attacks/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~