Google本周釋出Windows、Linux、Mac平臺最新Chrome 90.0.4430.85版本,以修補7項漏洞,包括一個已經發生開採攻擊的漏洞。

遭到開採的是編號CVE-2021-21224的類型混淆(Type Confusion)漏洞,存在JavaScript V8引擎。它是由VerSprite研究人員Jose Martinez通報。

Google以必須等大部份用戶更新為由,昨日並未公佈漏洞細節。類型混淆可能導致記憶體越界存取,使程式當掉或讓駭客執行任意程式。不過Google指出,已接獲CVE-2021-21224開採程式在網路上公開流傳。呼籲用戶應儘速安裝最新版Chrome。

這個版本另也修補了其他4項高風險漏洞,包括另二個V8漏洞,分別是緩衝溢位漏洞CVE-2021-21222及頻外記憶體存取(out of bands memory access)CVE-2021-21225。其他二個則是Mojo元件的整數溢位漏洞CVE-2021-21223,及Navigation元件的使用已釋放記憶體(use after free)漏洞CVE-2021-21226。

這是Chrome今年以來第四次為修補已開採漏洞而釋出新版本,之前已為此在2月3月上周發布新版本Chrome。


熱門新聞

Advertisement