Chrome V8 引擎中 CVE-2021-21227 严重漏洞被修复

sugar 2021-04-29
专栏 - 资讯 发布于 2021-04-29 09:33:10 阅读 83 评论 0

Google已发布Chrome 90的安全更新,该更新解决了一个新的严重漏洞,跟踪为CVE-2021-21227,该漏洞位于网络浏览器使用的V8 JavaScript引擎中。

CVE-2021-21227漏洞是一个不足的数据验证问题,远程攻击者可能会利用该漏洞来实现目标浏览器中的代码执行。

该漏洞是由中国网络安全公司Singular Security Lab的Gengming Liu报告给Google的,他也因该漏洞而获得了15,000美元的奖励。

攻击者无法利用此漏洞来逃脱Chrome沙盒,但将其与沙盒逃逸漏洞进行链接可以允许在底层操作系统上执行恶意代码。

CVE-2021-21227漏洞与Google在2020年解决的CVE-2020-16040和CVE-2020-15965漏洞相关。Chrome分别在2020年12月和2020年9月解决。

Google在最近几周修复了一些严重的V8漏洞,其中包括一些在发布补丁之前已发布PoC漏洞的漏洞。对于其中一些安全漏洞,谷歌警告说,存在漏洞的现象很普遍。

Chrome 90更新解决了9个漏洞,其中包括CVE-2021-21227。下面是外部研究人员报告的问题:

  • $ NACVE-2021-21232:在开发工具中免费使用。Microsoft浏览器漏洞研究报告Abdulrahman Alqabandi于2021-02-05报道
  • $ TBDCVE-2021-21233:堆缓冲区中的角度溢出。Omair在2021-02-26上报道
  • $ 5000CVE-2021-21228:扩展中的政策执行不足。罗布·吴(Rob Wu)在2020-10-16上报道
  • $ TBDCVE-2021-21229:下载中的安全UI错误。Mohit Raj(shadow2639)在2021-04-12上报道
  • $ TBDCVE-2021-21230:V8中的类型混淆。曼弗雷德·保罗(Manfred Paul)在2021-04-13上报道
  • $ NACVE-2021-21231:V8中的数据验证不足。Google Project Zero的Sergei Glazunov在2021-04-13报道
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!