谷歌于2月5日发布了针对Windows、Mac和Linux用户的Chrome小版本更新,更新后Chrome的版本号来到了88.0.4324.150。在此版本中,Google解决了一个被利用的零日漏洞。该漏洞被谷歌评为高严重性,被命名为CVE-2021-21148,由谷歌零项目的安全研究员MattiasBuelens于2021年1月24日报告。零日漏洞被描述为V8中的堆缓冲区溢出错误,V8是Google的开源、基于C++的高性能WebAssembly和JavaScript引擎。尽管缓冲区溢出通常会使浏览器崩溃,但攻击者仍然可以利用缓冲区溢出在运行易受攻击软件的系统上执行任意代码。谷歌在Chrome88.0.4324.150更新公告中写道:“谷歌已获悉有关CVE-2021-21148漏洞利用的报告。”尽管如此,谷歌并未提供有关这些攻击背后原因的任何细节。谷歌还补充说:“在大多数用户更新修复程序之前,对错误详细信息和链接的访问可能会受到限制。如果问题存在于尚未修复的第三方库中,并且其他项目也依赖于这些库,并且我们将继续维持这些限制。”此举应该让Chrome用户有更多时间安装安全更新。Windows、Mac和Linux桌面用户可以通过转到设置->帮助->关于GoogleChrome升级到最新版本的Chrome。Chrome还会自动检查获取更新并在可用时安装它们。谷歌还在去年10月20日至11月12日的一个月内修复了5个Chrome零日漏洞。本文转自OSCHINA文章标题:谷歌再次修复Chrome零日漏洞本文地址:https://www.oschina.net/news/129184/google-fixes-chrome-zero-day-vulnerability
