铬浏览器飞溅, 数十亿浏览器用户威胁哈克
据报道,谷歌已经为其Chrome浏览器推出了一个紧急安全补丁。因为 Chrome 浏览器已知存在脆弱的安全漏洞,因此用户很容易被黑客渗透。该安全补丁由谷歌于2021年10月15日星期五推出。
安全缺陷称为 CVE-2021-37973。该漏洞可用于门户 API(一种网页导航系统,允许它以插入方式显示其他页面,并可以"无缝传输到新状态,其中以前插入的页面成为高级文档"。
威胁分析小组(TAG)的克莱门特·莱西涅首先注意到了该漏洞。即便如此,脆弱安全漏洞尚未更详细地披露,因为它与主动利用有关,以便用户能够实现安全修补程序。
另一方面,谷歌也意识到"CVE-2021-37973存在于野外"。Chrome 浏览器的安全补丁升级是在 Apple 关闭在旧版本的 Chrome 和 MacOS 中积极利用的安全漏洞一天后启动的。
谷歌的安全改进据称能够克服铬的第11次"零日"漏洞。此漏洞会影响 Linux、MacOS 和 Windows 上的浏览器用户。对于信息,"零日"漏洞意味着黑客甚至在谷歌发布可能导致黑客攻击的安全更新之前,就已经可以进入这一空白。
目前,Chrome 浏览器拥有 26.5 亿用户。这个数字很容易成为黑客的目标。零日是另一个用户免费后 (UAF) 漏洞。《福布斯》报道说,UAF经常被黑客用来剥削受害者。
谷歌最新的安全补丁可以解决自 2021 年初以来 Chrome 浏览器中的 12 个零日漏洞:
CVE-2021-21148 - V8 中的堆缓冲溢出
CVE-2021-21166 - 音频中的对象回收问题
CVE-2021-21193 - 闪烁后免费使用
CVE-2021-21206 - 闪烁后免费使用
CVE-2021-21220 - V8 中未经信任的输入验证不足,无法x86_64
CVE-2021-21224 - V8 中的类型混淆
CVE-2021-30551 - V8 中的类型混淆
CVE-2021-30554 - WebGL 免使用后
CVE-2021-30563 - V8 中的类型混淆
CVE-2021-30632 - V8 中写入的越界
CVE-2021-30633 - 索引 DB API 中的无使用后使用
由于此安全漏洞,Chrome 用户应立即将浏览器更新到最新版本 94.0.4606.61。诀窍是,用户只需转到"设置",然后单击"帮助",选择"关于 Google Chrome"。通过更新 Chrome 浏览器,预计将降低被黑客攻击的可能性。