首頁 > 安全研究 > 安全通報 > 安全通告

2021年Google Chrome 7個在野利用0day

發布時間 2021-06-11

0x00 漏洞概述

2021年06月09日,Google發布了適用于 Windows、Mac 和 Linux 的 Chrome 91.0.4472.101 版本,該版本修復了包括被在野利用的CVE-2021-30551和嚴重的CVE-2021-30544在內的14 個安全漏洞。

 

0x01 漏洞詳情

image.png

 

2021年以來,Google總共修復了7個被在野利用的Chrome 0day漏洞,這些漏洞涉及V8 開源JavaScript 引擎、Blink等。

CVE-2021-21148 - V8 中的堆緩沖區溢出漏洞

2021年2月4日:該漏洞是Google V8 JavaScript 渲染引擎中的堆緩沖區溢出漏洞,Google已經在適用于 Windows、Mac 和 Linux 的88.0.4324.150及更高版本中修復了此漏洞。

 

CVE-2021-21166 - 音頻中的對象回收問題

2021 年 3 月 2 日:該漏洞是微軟瀏覽器漏洞研究中心的艾莉森·霍夫曼 (Alison Huffman) 于 2 月 11日報告的兩個漏洞之一,Google已經在適用于Windows、Mac和Linux的Chrome 89.0.4389.72及更高版本中修復了包括此漏洞在內的47個安全漏洞。

 

CVE-2021-21193 - Blink 中的 Use-after-free

2021 年 3 月 12 日:該漏洞是Blink 渲染引擎中的一個UAF漏洞,該漏洞的CVSS 評分為 8.8,遠程攻擊者可利用此漏洞造成拒絕服務或在目標系統上執行任意代碼。Google已在適用于 Windows、Mac 和 Linux 的 89.0.4389.90及更高版本中修復了此漏洞。

 

CVE-2021-21206 - Blink 中的 Use-after-free和CVE-2021-21220 - 對 x86_64 的 V8 中不可信輸入的驗證不足

2021 年 4 月 13 日:CVE-2021-21220是Pwn2Own 2021競賽中發現的V8 JavaScript 渲染引擎中的不可信輸入驗證不足漏洞。CVE-2021-21206是一位匿名研究員于4 月 7 日報告給Google的UAF漏洞。

 

CVE-2021-21224 - V8 中的類型混淆

2021 年 4 月 20日:該漏洞是安全研究員 Jose Martinez 于 4 月 5 日向Google報告的 V8 開源 JavaScript 引擎中的類型混淆漏洞,在執行整數數據類型轉換時會觸發漏洞 [ 1195777 ],導致越界,最終可實現任意內存讀寫。該漏洞的PoC于4 月 14 日被研究人員frust公開發布(其利用了V8 源代碼中已修復的問題,但該補丁并未集成到 Chromium 代碼庫和所有依賴它的瀏覽器中,例如 Chrome、Microsoft Edge、Brave、Vivaldi 和 Opera)。Google已在適用于 Windows、Mac 和 Linux 的Chrome 90.0.4430.85及更高版本中修復了包括此漏洞在內的7個安全漏洞。

 

CVE-2021-30551 - V8開源JavaScript引擎中的類型混淆

2021年6月9日:該漏洞是Google Project Zero 的 Sergei Glazunov 發現并報告的,Google表示,該漏洞是由濫用CVE-2021-33742(微軟6月8日的補丁星期二中修復的Windows MSHTML平臺中的RCE漏洞)的同一個攻擊者利用的。這2個0day據說是由一個商業漏洞經紀人提供給一個民族國家攻擊者的,以便攻擊者利用它們對東歐和中東的目標進行攻擊。Google已在適用于 Windows、Mac 和 Linux 的Chrome 91.0.4472.101版本中修復了包括此漏洞和嚴重的CVE-2021-30544在內的14個安全漏洞。

 

 

0x02 處置建議

Chrome 用戶可以通過前往“設置”>“幫助”>“關于 Google Chrome”來更新到最新版本 (91.0.4472.101),以降低與這些漏洞相關的風險。

 

0x03 參考鏈接

https://amp.thehackernews.com/thn/2021/06/new-chrome-0-day-bug-under-active.html

https://thehackernews.com/2021/04/2-new-chrome-0-days-under-attack-update.html

https://www.bleepingcomputer.com/news/security/google-fixes-sixth-chrome-zero-day-exploited-in-the-wild-this-year/

 

0x04 時間線

2021-06-09  Google發布安全更新

2021-06-11  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

上一篇 下一篇