Google 在周二向用户消息推送了 Chrome 电脑浏览器的填补升级,更新后版本信息升到 92.0.4515.159,该版本号为 Chrome 浏览器修复了 9 个漏洞,在其中有 7 个漏洞是由外界安全性研究工作人员所看到的。该升级适用 Windows、Mac 和 Linux。
Google 将漏洞分为了四个级别,本次修补的漏洞不包含四个级别中最多的「比较严重」漏洞,全部七个都被评选为第二级的「高危」漏洞。这 7 个漏洞的 CVE ID 分别是:
- CVE-2021-30598
- CVE-2021-30599
- CVE-2021-30600
- CVE-2021-30601
- CVE-2021-30602
- CVE-2021-30603
- CVE-2021-30604
在其中 CVE-2021-30598 和 CVE-2021-30599,二者均是 V8 JavaScript 模块中的种类混淆问题,由研究工作人员 Manfred Paul 在 7 月发觉并汇报。
种类混淆漏洞通常可以根据引诱总体目标用户浏览一个恶意网站而被利用,他们容许网络攻击在网页页面3D渲染全过程中完成随意编码的实行。取得成功利用此漏洞很有可能会造成易受攻击的系统软件彻底遭受进攻。Google 为这两个安全性漏洞各自向 Paul 付款了 21000 美金,累计 42000 美金。
Google 还修补了 Chrome 电脑浏览器 Printing 中的一个 UAF 漏洞(CVE-2021-30600)和 Extensions API 中的另一个漏洞(CVE-2021-30601),这两个漏洞均由 360 Alpha Lab 的安全性研究工作人员汇报。而 Google 为这两个漏洞又各自缴纳了 2 万美金的漏洞悬赏金,累计 4 万美金。
为了更好地最大限度的维护用户,避免以上这种漏洞被犯罪分子利用进而引起规模性的风险性,Google 会在大部分用户升级该补丁包以前,对漏洞的详细资料开展保存。在当前状况下,现阶段没有结果报告显示以上漏洞有被利用的征兆。
Google 并未表露此外好多个漏洞的悬赏金金额 —— 他们分别是 WebRTC 的 UAF 漏洞(CVE-2021-30602),ANGLE 的 UAF 漏洞(CVE-2021-30604)。除此之外还有一个 WebAudio(CVE-2021-30603)中的市场竞争标准漏洞(Race Condition)。
必须用户留意的是,以上这种漏洞不只能危害 Chrome 电脑浏览器,别的归属于同样构架的 Edge、Brave、Vivaldi 等电脑浏览器一样也是进攻目标,用户最好是确定电脑浏览器已升级到最新版,防止遭受故意进攻造成私人信息及材料泄露。
用户可以根据菜单栏选择项 「协助」->「有关 Chrome 电脑浏览器」手动式升级 Chrome 来修补以上问题。对电脑浏览器安全性有研究的开发人员可以点一下连接查询 Chrome 漏洞悬赏任务方案的详尽标准,顺带挣点“零花钱”。
文中转自OSCHINA
本文文章标题:Google 巨额悬赏任务 4 个 Chrome 漏洞,每一个使用价值 2 万美金
文中详细地址:https://www.oschina.net/news/156187/google-awards-chrome-researchers