Google、微軟緊急修補瀏覽器高風險漏洞

Google與微軟周末緊急釋出更新版Chrome及Chrome-based Edge瀏覽器，以修補6個高風險漏洞。

德國網路安全應變中心於周末發布安全公告，顯示Google Chrome及微軟Edge瀏覽器的6個漏洞，可讓遠端攻擊者開採以發動未指明對象的攻擊。這批漏洞被評估為高度風險。

受影響的版本包括Google Chrome 92.0.4515.159以前版本，及Edge 92.0.902.78以前的版本，且同時涵括Linux、MacOS X、UNIX和Windows平臺。

6個漏洞包括CVE-2021-30598到CVE-2021-30604。其中CVE-2021-30598和CVE-2021-30599為JavaScript v8引擎的類型混淆漏洞。CVE-2021-30603為WebStudio元件的競爭條件漏洞。CVE-2021-30600、CVE-2021-30601、CVE-2021-30602及CVE-2021-30604，則是分別位於Printing、Extensions API、WebRTC及ANGLE專案中的使用已釋放（Use after free）漏洞。除了WebRTC的漏洞是Google Project Zero找到，其餘都是來自外部研究人員的通報。

這是今年V8引擎至少第三度傳出同一類型的漏洞，前兩次分別發生於4月及6月。

Google為了等大部份用戶都更新，而暫時隱藏了這些漏洞的技術細節。Google未說明這批漏洞是否已發生開採活動。

Google周末釋出穩定版的Chrome 92.0.4515.159版本，先修補Windows版，Mac和Linux平臺版本則會在未來幾天到幾周陸續部署。微軟則是釋出穩定版Edge 92.0.902.78版。