谷歌周二向用户推送了Chrome浏览器的补充更新。9个漏洞,其中7个是由外部安全研究人员发现的。此更新适用于Windows、Mac和Linux。此次修补的漏洞均不包括“严重”漏洞,这是谷歌将漏洞放入的四个评级中最高的,所有七个都被评为“高风险”,第二个评级。这七个漏洞的CVEID分别为:CVE-2021-30598CVE-2021-30599CVE-2021-30600CVE-2021-30601CVE-2021-30602CVE-2021-30603CVE-2021-30604其中CVE-2021-30598和CVE-2021-30599,这两个都是V8JavaScript引擎中的类型混淆问题,由研究员ManfredPaul在7月发现并报告。通常可以通过诱使目标用户访问恶意网站来利用类型混淆漏洞,攻击者可以在呈现网页期间执行任意代码。成功利用此漏洞可能会导致易受攻击的系统完全受损。谷歌因两次安全漏洞分别向保罗支付了21,000美元,总计42,000美元。谷歌还修复了Chrome浏览器Printing中的一个UAF漏洞(CVE-2021-30600)和ExtensionsAPI中的另一个漏洞(CVE-2021-30601),这两个漏洞均由安全研究员360AlphaLabPersonnel报告发现。谷歌为这两个漏洞另外支付了20,000美元的漏洞赏金,总计40,000美元。为最大限度保护用户,防止上述漏洞被不法分子利用造成大规模风险,谷歌会在大部分用户更新补丁前保留漏洞的详细信息。就目前情况来看,目前还没有上述漏洞被利用的报告。谷歌尚未披露其他几个漏洞的赏金金额——它们是WebRTC的UAF漏洞(CVE-2021-30602)和ANGLE的UAF漏洞(CVE-2021-30604)。WebAudio(CVE-2021-30603)中也存在竞争条件漏洞(RaceCondition)。用户需要注意的是,上述漏洞不仅影响Chrome浏览器,Edge、Brave、Vivaldi等同架构的其他浏览器也受到攻击。用户应确认浏览器已更新至最新版本,以免遭到恶意攻击。攻击导致个人信息和数据泄露。用户可以通过菜单选项“帮助”->“关于Chrome浏览器”手动更新Chrome来修复上述问题。研究过浏览器安全的开发者可以点击链接查看Chrome漏洞赏金计划的详细规则,顺便赚点“零花钱”。本文转自OSCHINA文章标题:谷歌悬赏4个Chrome漏洞,每个漏洞价值2万美元
