Google與微軟周末緊急釋出更新版Chrome及Chrome-based Edge瀏覽器,以修補6個高風險漏洞。

德國網路安全應變中心於周末發布安全公告,顯示Google Chrome及微軟Edge瀏覽器的6個漏洞,可讓遠端攻擊者開採以發動未指明對象的攻擊。這批漏洞被評估為高度風險。

受影響的版本包括Google Chrome 92.0.4515.159以前版本,及Edge 92.0.902.78以前的版本,且同時涵括Linux、MacOS X、UNIX和Windows平臺。

6個漏洞包括CVE-2021-30598到CVE-2021-30604。其中CVE-2021-30598和CVE-2021-30599為JavaScript v8引擎的類型混淆漏洞。CVE-2021-30603為WebStudio元件的競爭條件漏洞。CVE-2021-30600、CVE-2021-30601、CVE-2021-30602及CVE-2021-30604,則是分別位於Printing、Extensions API、WebRTC及ANGLE專案中的使用已釋放(Use after free)漏洞。除了WebRTC的漏洞是Google Project Zero找到,其餘都是來自外部研究人員的通報。

這是今年V8引擎至少第三度傳出同一類型的漏洞,前兩次分別發生於4月6月

Google為了等大部份用戶都更新,而暫時隱藏了這些漏洞的技術細節。Google未說明這批漏洞是否已發生開採活動。

Google周末釋出穩定版的Chrome 92.0.4515.159版本,先修補Windows版,Mac和Linux平臺版本則會在未來幾天到幾周陸續部署。微軟則是釋出穩定版Edge 92.0.902.78版

熱門新聞

Advertisement