Google Chrome再緊急修補已有攻擊的零時差漏洞

Google本周釋出Windows、Linux、Mac平臺最新Chrome 90.0.4430.85版本，以修補7項漏洞，包括一個已經發生開採攻擊的漏洞。

遭到開採的是編號CVE-2021-21224的類型混淆（Type Confusion）漏洞，存在JavaScript V8引擎。它是由VerSprite研究人員Jose Martinez通報。

Google以必須等大部份用戶更新為由，昨日並未公佈漏洞細節。類型混淆可能導致記憶體越界存取，使程式當掉或讓駭客執行任意程式。不過Google指出，已接獲CVE-2021-21224開採程式在網路上公開流傳。呼籲用戶應儘速安裝最新版Chrome。

這個版本另也修補了其他4項高風險漏洞，包括另二個V8漏洞，分別是緩衝溢位漏洞CVE-2021-21222及頻外記憶體存取（out of bands memory access）CVE-2021-21225。其他二個則是Mojo元件的整數溢位漏洞CVE-2021-21223，及Navigation元件的使用已釋放記憶體（use after free）漏洞CVE-2021-21226。

這是Chrome今年以來第四次為修補已開採漏洞而釋出新版本，之前已為此在2月、3月及上周發布新版本Chrome。