2021-04-22 11:05:25
Chrome 技术项目经理 Srinivas Sista 在撰写的公告中介绍了五个漏洞:
CVE-2021-21222: V8的堆缓冲区溢出,由奇虎360阿尔法实验室于2021-03-30报告;
CVE-2021-21223: Mojo 中的整数溢出,由奇虎360阿尔法实验室于2021-04-02报告;
CVE-2021-21225: V8中的越界内存访问,于2021-04-05报告;
CVE-2021-21226: 在导航中UAF(Use after Free)漏洞,于2021-04-11报告;
CVE-2021-21224: V8中的类型混淆,由 VerSprite Inc. 于2021-04-05报告;
其中最后一个标识符为 CVE-2021-21224的漏洞即是零日漏洞。Srinivas Sista 在公告中写道:"Google 已了解到有报告指出 CVE-2021-21224漏洞有被利用的情况“,但并没有分享任何有关该零日漏洞的细节。
不过,根据安全专家在 Twitter 上分享的内容显示,这个远程代码执行漏洞不能被攻击者利用来逃避 Chromium 的沙盒安全功能(一种旨在阻止漏洞在主机上访问文件或执行代码的安全功能)。
该更新将在未来几天陆续推送至用户的设备上,用户也可以手动检查更新及时修复上述问题。
CVE-2021-21222: V8的堆缓冲区溢出,由奇虎360阿尔法实验室于2021-03-30报告;
CVE-2021-21223: Mojo 中的整数溢出,由奇虎360阿尔法实验室于2021-04-02报告;
CVE-2021-21225: V8中的越界内存访问,于2021-04-05报告;
CVE-2021-21226: 在导航中UAF(Use after Free)漏洞,于2021-04-11报告;
CVE-2021-21224: V8中的类型混淆,由 VerSprite Inc. 于2021-04-05报告;
其中最后一个标识符为 CVE-2021-21224的漏洞即是零日漏洞。Srinivas Sista 在公告中写道:"Google 已了解到有报告指出 CVE-2021-21224漏洞有被利用的情况“,但并没有分享任何有关该零日漏洞的细节。
不过,根据安全专家在 Twitter 上分享的内容显示,这个远程代码执行漏洞不能被攻击者利用来逃避 Chromium 的沙盒安全功能(一种旨在阻止漏洞在主机上访问文件或执行代码的安全功能)。
该更新将在未来几天陆续推送至用户的设备上,用户也可以手动检查更新及时修复上述问题。
