Google最近更新了Google Chrome浏览器,现在可以下载。如果您仍在使用旧版本,则必须立即升级到Chrome 89,这样才能安全地在Windows,Mac和Linux操作系统上执行浏览活动。
Chrome版本89.0.4389.90带来了主要的CVE-2021-21193零日漏洞修复程序。此零日漏洞在Blink中被描述为“免费使用后使用”。据外部研究人员报道。
Google没有提供有关Chrome版本中的错误修复的详细信息。但是,它提到此漏洞的报告已经在野外被利用。
总共五个修复程序的更新常数。据外部研究人员报道,其中三个漏洞为[$ 500] [1167357]高CVE-2021-21191,[$ TBD] [1181387]高CVE-2021-21192和[$ TBD] [1186287]高CVE-2021-21193 。
Raven(@raid_akame报告了CVE-2021-21191:-在WebRTC中免费使用后使用。CVE-2021-21192漏洞导致选项卡组中的堆缓冲区溢出。据Microsoft浏览器漏洞研究报告Abdulrahman Alqabandi于2021-02- 23. Anonymous在2021-03-09上报告了“眨眼后免费使用”(aka CVE-2021-21193)。
一个月前,V8中的堆黄油溢出已在88.0.4324.150之前修复。此漏洞利用可能允许通过精心制作的HTML页面进行远程攻击,以防止堆损坏。
Google很快将为MS Edge和Chrome浏览器添加新的安全功能,以保护其免受任何漏洞的侵害。
这项新功能是CET或称为控制流实施技术,于2016年推出。去年,它已添加到英特尔的第11代CPU中。它着重于保护程序免受ROP或面向返回的编程以及JOP或面向跳转的编程攻击。
这两种攻击都是绕过Web浏览器的沙箱或执行远程执行。 CET将在英特尔的帮助下阻止他们采取此类行动。