谷歌修补了今年在野外利用的第 8 个 Chrome 零日漏洞

谷歌发布了适用于 Windows、Mac 和 Linux 的 Chrome 91.0.4472.164 以修复七个安全漏洞，其中一个是在野外被利用的高严重性零日漏洞。该公司透露：“谷歌了解到有关 CVE-2021-30563 漏洞利用的报道。”新的 Chrome 版本已开始在全球范围内向稳定桌面渠道推出，并将在接下来的几天内向所有用户开放。谷歌浏览器将在下次启动时自动更新，但您也可以通过从“设置”>“帮助”>“关于谷歌浏览器”检查新发布的版本来手动更新它。谷歌 Project Zero 的 Sergei Glazunov 于周四修补并报告的零日漏洞被描述为 V8 中的一个类型混淆错误，V8 是谷歌基于 C++ 的开源高性能 WebAssembly 和 JavaScript 引擎。尽管类型混淆漏洞通常会在成功利用缓冲区边界外读取或写入内存后导致浏览器崩溃，但威胁行为者也可以利用它们在运行易受攻击的软件的设备上执行任意代码。虽然谷歌表示它知道 CVE-2021-30563 存在广泛利用，但它没有分享有关这些攻击的信息，以允许安全更新在更多威胁参与者开始积极滥用之前部署在尽可能多的系统上。

“在大多数用户更新了修复程序之前，对错误详细信息和链接的访问可能会受到限制，”谷歌说。 “如果该错误存在于其他项目同样依赖但尚未修复的第三方库中，我们还将保留限制。”自 2021 年初以来，谷歌总共修补了 8 个被攻击者在野外利用的 Chrome 零日漏洞。 除了 CVE-2021-30563 外，该公司之前还提到：谷歌威胁分析小组 (TAG) 已在此早些时候分享了更多细节周关于 CVE-2021-21166 和 CVE-2021-30551 Chrome 零日漏洞的野外利用。 “根据我们的分析，我们评估这里描述的 Chrome 和 Internet Explorer 漏洞是由为全球客户提供监控功能的同一家供应商开发和销售的，”谷歌说。周四，微软和公民实验室将谷歌 TAG 报告中提到的供应商与以色列间谍软件供应商 Candiru 威胁行为者联系起来，利用 Chrome 零日漏洞和 Windows 未修补漏洞部署监控供应商的间谍软件来感染 iOS、Android、macOS 和 Windows 设备。

微软研究人员发现，Candiru 的恶意软件被用来破坏“政治家、人权活动家、记者、学者、大使馆工作人员和持不同政见者”的系统。微软表示，总的来说，它在巴勒斯坦、以色列、伊朗、黎巴嫩、也门、西班牙、英国、土耳其、亚美尼亚和新加坡发现了“至少 100 名受害者”。