鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

2021年Google Chrome 7个在野使用0day

宣布时间 2021-06-11

0x00 误差概述

2021年06月09日，，，，，，，Google宣布了适用于 Windows、Mac 和 Linux 的 Chrome 91.0.4472.101 版本，，，，，，，该版本修复了包括被在野使用的CVE-2021-30551和严重的CVE-2021-30544在内的14 个清静误差。。。

0x01 误差详情

2021年以来，，，，，，，Google总共修复了7个被在野使用的Chrome 0day误差，，，，，，，这些误差涉及V8 开源JavaScript 引擎、Blink等。。。

CVE-2021-21148 - V8 中的堆缓冲区溢出误差

2021年2月4日：该误差是Google V8 JavaScript 渲染引擎中的堆缓冲区溢出误差，，，，，，，Google已经在适用于 Windows、Mac 和 Linux 的88.0.4324.150及更高版本中修复了此误差。。。

CVE-2021-21166 - 音频中的工具接纳问题

2021 年 3 月 2 日：该误差是微软浏览器误差研究中心的艾莉森·霍夫曼 (Alison Huffman) 于 2 月 11日报告的两个误差之一，，，，，，，Google已经在适用于Windows、Mac和Linux的Chrome 89.0.4389.72及更高版本中修复了包括此误差在内的47个清静误差。。。

CVE-2021-21193 - Blink 中的 Use-after-free

2021 年 3 月 12 日：该误差是Blink 渲染引擎中的一个UAF误差，，，，，，，该误差的CVSS 评分为 8.8，，，，，，，远程攻击者可使用此误差造成拒绝效劳或在目的系统上执行恣意代码。。。Google已在适用于 Windows、Mac 和 Linux 的 89.0.4389.90及更高版本中修复了此误差。。。

CVE-2021-21206 - Blink 中的 Use-after-free和CVE-2021-21220 - 对 x86_64 的 V8 中不可信输入的验证缺乏

2021 年 4 月 13 日：CVE-2021-21220是Pwn2Own 2021竞赛中发明的V8 JavaScript 渲染引擎中的不可信输入验证缺乏误差。。。CVE-2021-21206是一位匿名研究员于4 月 7 日报告给Google的UAF误差。。。

CVE-2021-21224 - V8 中的类型混淆

2021 年 4 月 20日：该误差是清静研究员 Jose Martinez 于 4 月 5 日向Google报告的 V8 开源 JavaScript 引擎中的类型混淆误差，，，，，，，在执行整数数据类型转换时会触发误差 [ 1195777 ]，，，，，，，导致越界，，，，，，，最终可实现恣意内存读写。。。该误差的PoC于4 月 14 日被研究职员frust果真宣布(其使用了V8 源代码中已修复的问题，，，，，，，但该补丁并未集成到 Chromium 代码库和所有依赖它的浏览器中，，，，，，，例如 Chrome、Microsoft Edge、Brave、Vivaldi 和 Opera)。。。Google已在适用于 Windows、Mac 和 Linux 的Chrome 90.0.4430.85及更高版本中修复了包括此误差在内的7个清静误差。。。

CVE-2021-30551 - V8开源JavaScript引擎中的类型混淆

2021年6月9日：该误差是Google Project Zero 的 Sergei Glazunov 发明并报告的，，，，，，，Google体现，，，，，，，该误差是由滥用CVE-2021-33742（微软6月8日的补丁星期二中修复的Windows MSHTML平台中的RCE误差）的统一个攻击者使用的。。。这2个0day听说是由一个商业误差经纪人提供应一个民族国家攻击者的，，，，，，，以便攻击者使用它们对东欧和中东的目的举行攻击。。。Google已在适用于 Windows、Mac 和 Linux 的Chrome 91.0.4472.101版本中修复了包括此误差和严重的CVE-2021-30544在内的14个清静误差。。。

0x02 处置惩罚建议

Chrome 用户可以通过前往“设置”>】帐助”>“关于 Google Chrome”来更新到最新版本 (91.0.4472.101)，，，，，，，以降低与这些误差相关的危害。。。

0x03 参考链接

https://amp.thehackernews.com/thn/2021/06/new-chrome-0-day-bug-under-active.html

https://thehackernews.com/2021/04/2-new-chrome-0-days-under-attack-update.html

https://www.bleepingcomputer.com/news/security/google-fixes-sixth-chrome-zero-day-exploited-in-the-wild-this-year/

0x04 时间线

2021-06-09 Google宣布清静更新

2021-06-11 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】