据Security affairs 10月9日,谷歌发布了安全更新,解决了适合的问题Windows、Mac和Linux的Chrome浏览器版本的四个高危漏洞分别是 CVE-2021-37977、CVE-2021-37978、CVE-2021-37979和CVE-2021-37980。
最危险的是编号CVE-2021-37977漏洞。具体来说,这是一个Garbage Collection中的after-free漏洞问题,任何代码执行,如远程加载执行攻击者构建的恶意代码,最终给用户的计算机造成严重损失。
一名匿名研究员报告了这个漏洞,他还获得了1万美元的漏洞奖金。
谷歌也更新了Blink和WebRTC该区域的两个缓冲区分别溢出漏洞CVE-2021-37978和CVE-2021-37979。
其中,CVE-2021-37978360高级威胁研究所的漏洞报告者Yangkang (@dnpushme),而CVE-2021-37979思科是漏洞Talos团队的Marcin Towalski报告。两名安全研究员还获得了谷歌1万美元的漏洞奖金。
最后一个高危漏洞编号为CVE-2021-37980,这个漏洞可能会导致谷歌的沙箱失败。这个漏洞是由Yonghwi Jin (@jinmo123)但漏洞金额只有3000美元,低于前三个漏洞。
谷歌桌面稳定通道更新通知显示:“针对Windows,Mac 和 Linux操作系统, Google稳定版频道已更新94.0.4606.81版本将在未来几天/周内向所有用户推出;最近几天将更新扩展稳定通道94.0.4606.81版本。”
现在,Chrome浏览器的94.0.4606.81迭代版本已经为用户推出,迭代版本已经解决了Blink和WebRTC两个缓冲区溢出漏洞。
然而,谷歌并没有透露这些漏洞是否被黑客用于网络攻击,直到它们被发现并解决。