漏洞情报 | WebKit2GTK多个高危漏洞

0x01 漏洞描述

WebKit是KDE、苹果（Apple）、谷歌（Google）等公司共同开发的一套开源的Web浏览器引擎。WebKitGTK是WebKit引擎基于GTK环境的实现，包含WebKit的全部功能。

360漏洞云监测到WebKit2GTK存在多个高危漏洞，远程攻击者可利用这些漏洞通过特制的网页内容执行任意代码或泄露敏感信息。

• CVE-2021-21775
• 漏洞类型：释放后重用
• 漏洞描述：特殊构造的恶意网页可引起信息泄露和内存损坏。
• CVE-2021-21779
• 漏洞类型：释放后重用
• 漏洞描述：特殊构造的恶意网页可引起信息泄露和内存损坏。
• CVE-2021-30663
• 漏洞类型：整型溢出
• 漏洞描述：处理恶意制作的网页内容可导致任意代码执行。
• CVE-2021-30665
• 漏洞类型：缓冲区溢出
• 漏洞描述：处理恶意制作的网页内容可导致任意代码执行，该漏洞存在在野利用。
• CVE-2021-30689
• 漏洞类型：跨站脚本
• 漏洞描述：处理恶意制作的网页内容可导致通用跨站脚本攻击。
• CVE-2021-30720
• 漏洞类型：访问限制绕过
• 漏洞描述：恶意网站能访问任意服务器上的限制端口。
• CVE-2021-30734
• 漏洞类型：缓冲区溢出
• 漏洞描述：处理恶意制作的网页内容可导致任意代码执行。
• CVE-2021-30744
• 漏洞类型：跨站脚本
• 漏洞描述：处理恶意制作的网页内容可导致通用跨站脚本攻击。
• CVE-2021-30749
• 漏洞类型：缓冲区溢出
• 漏洞描述：处理恶意制作的网页内容可导致任意代码执行。
• CVE-2021-30795
• 漏洞类型：释放后重用
• 漏洞描述：处理恶意制作的网页内容可导致任意代码执行。
• CVE-2021-30797
• 漏洞类型：输入验证不当
• 漏洞描述：处理恶意制作的网页内容可导致任意代码执行。
• CVE-2021-30799
• 漏洞类型：缓冲区溢出
• 漏洞描述：处理恶意制作的网页内容可导致任意代码执行。

0x02 危害等级

高危：8.8

0x03 影响版本

WebKit2GTK <2.32.3-1

0x04 修复版本

WebKit2GTK 2.32.3-1

0x05 修复建议

厂商已发布升级修复漏洞，用户请尽快更新至安全版本。