迟到了一天,短暂的是一个众所周知的表达,这些表达有几种变化。但是这个版本有一部电影和一本名字的书,所以我要去这个。为什么?

谷歌发布了一个更新的Chrome浏览器,这些浏览器修补了两个新发现的漏洞。浏览器的稳定通道已更新为89.0.4389.128适用于Windows,Mac和Linux。两者都在野外被剥削。

谷歌知道有报告称存在针对CVE-2021-21206和CVE-2021-21220的攻击。

请注意,其他浏览器(如Edge,Brave和Vivaldi)也基于Chrome并可能影响相同的问题。

哪种漏洞正在修补?

公开披露的计算机安全漏洞列于常见的漏洞和公开(CVE)数据库中。其目标是使其更容易跨单独的漏洞功能(工具,数据库和服务)共享数据。

第一个零日被列为CVE-2021-21220并在上周在PWN2DOWS 2021事件中发现了。该漏洞是由于V8中不受信任输入的验证不足,谷歌的高性能JavaScript和WebasseMbly引擎解释了嵌入在网页中的代码。

第二个零日被列为CVE-2021-21206并被描述为“免费后使用的Blink”。UAF (Use after free)是由程序操作期间不正确使用动态内存引起的一个漏洞。如果在释放一个内存位置之后,程序没有清除指向该内存的指针,攻击者就可以利用这个错误来操纵程序。Blink是Chromium用来“绘制”网页的渲染引擎。

我为什么说晚了一天?

研究人员Rajvardhan Agarwal在周末在Github上举办了CVE-2021-21220(在PWN2WOWS发现的漏洞)的工作开发,通过铬团队生产的贴片。Chromium是Chrome建立的开源浏览器,反过来是由v8和闪烁的组件组成的。修复首先出现在Chromium中,然后将Google包装它们,以及一些Google特定的好东西,进入Chrome浏览器的新版本。

为什么美元短暂?

由于同一研究人员表示(当时)(当时)虽然影响基于铬的浏览器的漏洞已经在最新版本的V8中被修补,但它与当前的Chrome释放相反,从而让用户可能易受攻击的影响。

幸运的是,尽管阿加瓦尔证明了剥削是可能的,但他没有把整座城堡的钥匙交给罪犯。故意地,发布的攻击只有在用户禁用浏览器的沙箱时才会起作用,沙箱是一种保护软件的笼子,将浏览器与计算机的其他部分隔离开来,并保护它免受这类攻击。想要利用他的漏洞的犯罪分子必须通过沙箱“越狱”将其链接起来,这在技术上是一项艰巨的任务(尽管并非不可能,正如Pwn2Own的赢家所证明的那样)。

更新

最简单的方法是让Chrome自动更新,这基本上使用相同的方法概述如下,但不需要你的注意。但是,如果您从未关闭浏览器,或者出现了一些问题(例如某个扩展阻止了您更新浏览器),那么您可能最终会落后于浏览器。

所以,偶尔检查一下也无妨。考虑到这些工作成果,现在正是时候。我喜欢的方法是让Chrome打开页面chrome: / /设置/帮助您也可以通过单击找到设置>关于Chrome

如果有更新可用,Chrome会通知你并开始下载。然后它会告诉你完成更新所需要做的就是重新启动浏览器。

Chrome最新版
更新之后,您的版本应该是89.0.4389.128或更高版本

保持安全,每个人!