Google Chrome修補今年第三個遭開採的零時差漏洞

繼二月及本月初後，Google本周再釋出Chrome桌機版更新，以修補3個程式碼執行漏洞，包括一個已遭開採的零時差漏洞。

Windows、Mac及Linux 版本的89.0.4389.90 版，已透過穩定（Stable）通道釋出。最新更新包含5項安全修補程式，其中3個為高度風險，包括CVE-2021-21191、CVE-2021-21192及CVE-2021-21193。

Google以安全為由，在大多數用戶升級前不公開漏洞資訊，不過捷克安全廠商Cybersecurity Help仍提供了部份說明。

其中CVE-2021-21191存在WebRTC元件中，攻擊者若能誘使用戶點選開啟惡意網站，即能觸發使用已釋放記憶體（Use-After-Free）錯誤，並在受害系統上執行任意程式碼。CVE-2021-21192是微軟瀏覽器安全研究中心通報，出現在Chrome分頁群組功能中，若使用者連上遠端攻擊者設立的惡意網站，將可觸發堆積緩衝溢位（heap buffer overflow），讓攻擊者在其電腦上執行任意程式碼。

第三項漏洞CVE-2021-21193則位於Chrome的Blink算圖引擎，也是透過誘使用戶造訪惡意網站，來觸發使用已釋放記憶體錯誤，進而執行任意程式碼。和前面兩者不同的是，CVE-2021-21193已經有不明開採活動。這是本月第二起，也是今年第三個遭到開採的零時差漏洞。

3項漏洞影響Google Chrome 86到89版，Google也呼籲用戶儘速安裝更新版。