谷歌在一个月内第三次发布了针对几个安全问题的补丁更新。本次更新修补19个漏洞,其中5个被列为“高”风险漏洞。
在一个更新公告对于Chrome 95.0.4638.54,谷歌指定由外部研究人员发现的16个漏洞。
cf的
公开披露的计算机安全漏洞列在常见漏洞和暴露(CVE)数据库中。它的目标是使跨单独的漏洞功能(工具、数据库和服务)共享数据变得更容易。
以下是被评为高风险的外部研究人员的cve:
- cve - 2021 - 37981(高CVSSSkia中的堆缓冲区溢出。该漏洞的存在是由于在Skia中处理不受信任的HTML内容时出现边界错误。远程攻击者可以创建一个专门制作的网页,诱骗受害者打开它,触发基于堆的缓冲区溢出,并在目标系统上执行任意代码。
- cve - 2021 - 37982(高CVSS 7.7):使用后免费在隐身。该漏洞的存在是由于谷歌Chrome中的Incognito组件出现了一个免费使用后的错误。远程攻击者可以创建一个专门制作的网页,诱骗受害者访问它,触发一个免费使用的错误,并在目标系统上执行任意代码。
- cve - 2021 - 37983(高CVSS 7.7):使用后免费在开发工具。该漏洞的存在是由于在谷歌Chrome的Dev Tools组件中的一个免费后使用的错误。远程攻击者可以创建一个专门制作的网页,诱骗受害者访问它,触发一个免费使用的错误,并在目标系统上执行任意代码。
- cve - 2021 - 37984(高CVSS 7.7):堆缓冲区溢出在PDFium。该漏洞的存在是由于在PDFium中处理不受信任的HTML内容时出现边界错误。远程攻击者可以创建一个专门制作的网页,诱骗受害者打开它,触发基于堆的缓冲区溢出,并在目标系统上执行任意代码。
- cve - 2021 - 37985(高CVSS 7.7):在V8后免费使用。该漏洞的存在是由于谷歌Chrome的V8组件的免费后使用错误。远程攻击者可以创建一个专门制作的网页,诱骗受害者访问它,触发一个免费使用的错误,并在目标系统上执行任意代码。
堆缓冲区溢出
缓冲区溢出是一种软件漏洞,当软件应用程序中的内存区域到达它的地址边界并写入相邻的内存区域时,就会出现这种漏洞。在软件利用代码中,两个常见的溢出目标区域是堆栈和堆。因此,通过创建一个特殊的输入,攻击者可以利用这个漏洞将代码写入他们通常无法访问的内存位置。
使用后免费
UAF (Use after free)是由程序操作过程中动态内存的错误使用引起的一个漏洞。如果在释放一个内存位置后,一个程序没有清除指向该内存的指针,攻击者就可以利用这个错误来操纵该程序。
Skia
Skia是一个开源图形库,用c++编写,抽象了特定于平台的图形API。谷歌在2005年收购了它之后,Chrome使用Skia进行几乎所有的图形操作,包括文本渲染。
隐身
谷歌Chrome和其他浏览器的隐身模式,本质上是一个设置在你的浏览器上,不允许存储与你浏览的网站相关的本地数据。使用该模式浏览网页时,您的浏览历史记录将不会被记录。
开发工具
Chrome DevTools是一套直接内置在谷歌Chrome浏览器的web开发工具。Chrome DevTools是一套网页创作和调试工具,网页开发者可以使用它来迭代、调试和配置他们的网站。
V8
V8是谷歌的开源JavaScript和WebAssembly引擎。基本上,它是一个读取JavaScript V8并将JavaScript代码直接转换为机器代码的引擎,以便计算机能够真正理解它。这样,代码可以在浏览时运行。WebAssembly是一种二进制格式,允许你在web上高效安全地运行除JavaScript之外的编程语言的代码。V8也可以处理这种格式。
PDFium
Pdfium。Net SDK是领先的。Net库,用于生成、操作和查看可移植文档格式的文件。它在Chrome中用于显示pdf文件和打印预览。它也被用于Android的PDF渲染。
如何保护自己
如果你是一个Chrome用户,你应该尽快更新到95.0.4638.54版本。其他Chromium浏览器的用户应该注意更新,以修复他们共有的漏洞。
更新Chrome最简单的方法是允许Chrome自动更新,这基本上使用相同的方法概述如下,但不需要你的注意。但是,如果您从未关闭浏览器,或者出现了一些问题(例如某个扩展阻止了您更新浏览器),那么您可能最终会落后于浏览器。
所以,偶尔检查一下也无妨。考虑到这些工作成果,现在正是时候。我喜欢的方法是让Chrome打开页面chrome: / /设置/帮助你也可以通过点击设置>关于Chrome.
如果有更新可用,Chrome会通知你并开始下载。然后你所要做的就是重新启动浏览器以完成更新。
保持安全,大家好!
评论