谷歌宣布周一,谷歌宣布将针对Chrome浏览器中发现的11个严重漏洞发布补丁,其中包括两个目前正在被利用的漏洞。该补丁是Chrome 93(93.0.4577.82)稳定通道更新的一部分,将发布在Windows, Mac和Linux(如果它还没有)。Chrome用户有望在未来几天或几周内看到它的推出。

读者应该注意到,其他流行的浏览器,如Brave和Edge也是基于Chromium的,因此也可能容易受到这些缺陷的攻击。留意最新消息。

通过从主菜单中打开关于Google Chrome,您可以检查正在运行的Chrome版本。

关于Google Chrome的屏幕会告诉你正在运行的版本以及它是否是最新的

弱点

这些补丁解决了独立研究人员早在今年8月就向谷歌报告的高严重性漏洞。这就是说,该公司已经列入了在其公告中发现缺陷的研究人员的姓名。

正在被积极利用的两个弱点是,CVE-2021-30632CVE-2021-30633-匿名提交。前者是V8 JavaScript引擎中的“越界写入”缺陷,后者是索引DB API中的“释放后使用”缺陷。

由于威胁行为人目前正在利用上述两个漏洞,谷歌几乎没有提供任何信息,说明针对这些漏洞的攻击是如何进行的,或者用户应该注意的其他预防措施。每谷歌:

注意:对bug细节和链接的访问可能会被限制,直到大多数用户更新修复。如果该bug存在于其他项目相似依赖的第三方库中,但尚未修复,我们也将保留限制。

V8,Chrome侧面的刺?

没有人会惊讶地看到,其中一个在野外的漏洞影响了Chrome的V8引擎。

在每个现代web浏览器的核心都有一个JavaScript解释器,这个组件为交互式web应用做了很多繁重的工作。在Chrome中,这个解释器是V8的。这些组件需要适应频繁的更新,并遵循一系列令人眼花缭乱的web标准,同时又要既快速又安全。

Chrome的V8JavaScript引擎一直是安全问题的重要来源。事实上,这一点意义重大,以至于8月份,基于Chrome浏览器的微软宣布了一个名为超级复制安全模式这旨在通过简单地关闭V8的一个重要部分来解决大量V8问题。

为V8发布的CVE中有不到一半与其即时(JIT)编译器有关,而超过一半的“原始”Chrome利用了JIT漏洞。即时编译是一个重要的性能特性,关闭它是速度与安全性的直接交换。多少钱?根据我们的快速脏测试,关闭JIT编译器会使JavaScript在Edge中的执行速度加倍。

11个零日和计数

到目前为止,谷歌Chrome团队已经在2021年修补了11个零日漏洞。以前的补丁来自以下漏洞,我们在Malwarebytes Labs博客中介绍了其中一些漏洞:必威官方登录备用必威平台APP

有这么多糟糕的公关,你可能会认为Chrome的市场份额会受到影响;然而,它仍然是目前最流行的浏览器。用户和谷歌Chrome品牌似乎没有受到影响。

确保你更新你的Chrome或基于Chrome的浏览器,一旦你看到可用的补丁,或者更好的,确保你的浏览器设置为自我更新.

注意安全!