行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
Google 高额悬赏 4 个 Chrome 漏洞,每个价值 2 万美元
2021-08-19 14:13:50 【

Google 在周二向用户推送了 Chrome 浏览器的补充更新,更新后版本号升至 92.0.4515.159,该版本为 Chrome 浏览器修复了 9 个漏洞,其中有 7 个漏洞是由外部安全研究人员所发现的。该更新适用于 Windows、Mac 和 Linux。

Google 将漏洞分成了四个等级,此次修复的漏洞不包含四个等级中最高的「严重」漏洞,所有七个都被评为第二级的「高风险」漏洞。这 7 个漏洞的 CVE ID 分别是:

  • CVE-2021-30598

  • CVE-2021-30599

  • CVE-2021-30600

  • CVE-2021-30601

  • CVE-2021-30602

  • CVE-2021-30603

  • CVE-2021-30604

其中 CVE-2021-30598 和 CVE-2021-30599,两者均是 V8 java script 引擎中的类型混淆问题,由研究人员 Manfred Paul 在 7 月发现并报告。

类型混淆漏洞通常可以通过诱使目标用户访问一个恶意网站而被利用,它们允许攻击者在网页渲染过程中实现任意代码的执行。成功利用此漏洞可能会导致易受攻击的系统完全受到攻击。Google 为这两个安全漏洞分别向 Paul 支付了 21000 美元,合计 42000 美元。

Google 还修复了 Chrome 浏览器 Printing 中的一个 UAF 漏洞(CVE-2021-30600)和 Extensions API 中的另一个漏洞(CVE-2021-30601),这两个漏洞均由 360 Alpha Lab 的安全研究人员报告。而 Google 为这两个漏洞又分别支付了 2 万美元的漏洞赏金,合计 4 万美元。

为了最大限度的保护用户,防止上述这些漏洞被不法分子利用从而引发大规模的风险,Google 会在大多数用户更新该补丁之前,对漏洞的详细信息进行保留。在当前情况下,目前没有任何报告显示上述漏洞有被利用的迹象。

Google 尚未透露另外几个漏洞的赏金数额 —— 它们分别是 WebRTC 的 UAF 漏洞(CVE-2021-30602),ANGLE 的 UAF 漏洞(CVE-2021-30604)。此外还有一个 WebAudio(CVE-2021-30603)中的竞争条件漏洞(Race Condition)。

需要用户注意的是,上述这些漏洞不只会影响 Chrome 浏览器,其他属于相同架构的 Edge、Brave、Vivaldi 等浏览器同样也是攻击对象,用户最好确认浏览器已更新到最新版本,避免遭到恶意攻击导致个人信息及资料泄漏。

用户可以通过菜单选项 「帮助」->「关于 Chrome 浏览器」手动更新 Chrome 来修复上述问题。对浏览器安全有研究的开发者可以点击链接查看 Chrome 漏洞悬赏计划的详细规则,顺便赚点“零花钱”。

本文转自OSCHINA

本文标题:Google 高额悬赏 4 个 Chrome 漏洞,每个价值 2 万美元


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇60%企业将淘汰VPN!远程接入路在.. 下一篇 如何提升自己的服务器防御?

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800