尽快更新!Chrome 修复两个已遭在野利用的 0day

最新推荐文章于 2024-10-06 20:16:20 发布
最新推荐文章于 2024-10-06 20:16:20 发布
阅读量212 收藏
点赞数
文章标签: 信息安全 java chrome 安全 javascript
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247508234&idx=1&sn=76c54274b09a1ee0cf97517226065126&chksm=ea949060dde31976260239768a71e3301df0201499a85b353fbdf31c128aecf64652b53ee055&scene=126&&sessionid=0
版权

51b0651bbc373a9bc1522fc241db0302.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

723ce5d46e3c248f80d9f17a8623c969.png

今年9月末,谷歌紧急推出 Chrome 浏览器修复方案,其中包括修复了已遭利用的两个0day,称为该公司在9月修复的第四枚和第五枚0day。

这两个漏洞是 CVE-2021-37975和CVE-2021-37976,分别是V8 JavaScript 和 WebAssembly 引擎中的释放后使用缺陷和内核中的信息泄露漏洞。

和往常一样,谷歌并未分享关于漏洞利用的任意相关详情,从而使大多数用户能够打补丁,不过表示已在野出现这两个漏洞的exploit。

CVE-2021-37975 是由匿名研究员发现的,CVE-2021-37976是由谷歌威胁分析组织的研究员Clément Lecigne 发现的;Lecigne 此前不久曾发现另外一枚遭活跃利用的、位于 Chrome Portals API 中的释放后使用漏洞,而这一事实让人猜测这两个0day是否是同一利用链的一部分且可导致任意代码执行后果。

从年初到现在,谷歌已解决了14个0day,如下:

  • CVE-2021-21148 - V8中的对缓冲区溢出漏洞

  • CVE-2021-21166 – 音频中的对象回收问题

  • CVE-2021-21193 – Blink 中的释放后使用漏洞

  • CVE-2021-21206 - Blink 中的释放后使用漏洞

  • CVE-2021-21220 - x86_64 位V8中不可信输入的验证不充分漏洞

  • CVE-2021-21224 - V8中的类型混淆漏洞

  • CVE-2021-30551 - V8中的类型混淆漏洞

  • CVE-2021-30554 - WebGL中的释放后使用漏洞

  • CVE-2021-30563 - V8中的类型混淆漏洞

  • CVE-2021-30632 - V8中的界外写漏洞

  • CVE-2021-30633 - Indexed DB API 中的释放后使用漏洞

  • CVE-2021-37973 - Portals中的释放后使用漏洞

建议 Chrome 用户尽快更新至Chrome 的最新版本94.0.4606.71。

推荐阅读

谷歌紧急修复已遭在野利用的Chrome 0day

立即更新 Chrome 浏览器!这个 0day 已遭在野利用

详细分析谷歌紧急修复的 Chrome 0day(CVE-2021-21224)

又一枚 Chrome 0day现身

原文链接

https://thehackernews.com/2021/09/update-google-chrome-asap-to-patch-2.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

6050d101a7633593580b06ca834f6267.png

4b87bc9536121cc438fad9cffe0abb9d.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   c5999ded0f79d76be13c79220d0abde1.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
Chrome导出cookie的实战教程
weixin_43178406的博客
06-29 7万+
本文主要介绍了Chrome导出cookie的实战教程,希望能对使用Chrome的同学们有所帮助。 文章目录 1. 问题描述 2. 实战工具一 3. 实战工具二
Chrome将网页保存为PDF的实战教程
热门推荐
weixin_43178406的博客
04-17 7万+
本文主要介绍了Chrome将网页保存为PDF的实战教程,希望能对使用Chrome的同学们有所帮助。 文章目录 1. 背景描述 2. 解决方案
谷歌修复 Chrome 站点隔离绕过漏洞
smellycat000的专栏
12-22 299
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士一名安全研究员表示,旨在加速Chrome 网页加载速度的service worker特性中含有一个漏洞,可导致攻击者绕过Chrome 浏...
谷歌紧急修复利用Chrome 0day
smellycat000的专栏
11-28 657
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌紧急修复2022年以来的第8个Chrome 0day (CVE-2022-4135)。该漏洞是位于GPU中的一个堆缓冲溢出漏洞,是由谷歌威胁分析团队研究员Clement Lecigne在2022年11月22日发现的。谷歌更新指出,“谷歌已在野发现CVE-2022-4135的exploit。”谷歌并未发布相关详情,以便用户有足够时间应用安全更新...
chrome沙盒_我对Chrome沙盒逃生漏洞利用链的看法
weixin_26707241的博客
09-11 709
chrome沙盒Google’s Project Zero published a blog post explaining an exploit chain that bypass the Chrome browser sandbox. In this post, I will try to discuss my take on trying to understand the exploit ...
19个方便渗透测试的Chrome扩展
MyDriverC
12-19 9392
Google Chrome是目前世界上最流行的浏览器之一,简洁的界面让他俘获了许多用户,除此之外还具有许多改善浏览体验的功能。与Firefox一样,Chrome也支持插件,称之为“扩展”,这些扩展程序极大地拓展了Chrome的公呢个。数千个扩展程序让我们可以直接在浏览器中执行花样繁多的功能,而不需要安装独立的软件。在这篇文章中,我们将介绍19项好用的安全扩展来把Chrome变成一个安全测试工具。
Chrome浏览器代码执行0day漏洞
thlzjfefe的博客
05-24 505
适用版本: 漏洞危害:远程代码执行 影响版本:Chrome 89.0.4389.114以下(含89.0.4389.114) 测试版本: 86.0.4240.198 教程内容: 一、利用kali生成shellcode代码 比如说我要弹出计算器,那么: 64位操作系统: msfvenom -a x64 -p windows/x64/exec CMD="calc" EXITFUNC=thread -f num 32位操作系统: msfvenom -a x86 -p windows/exec CMD="ca
〖Python接口自动化测试实战篇⑥〗- 接口抓包工具 Chrome 的使用
易编橙 · 终身成长社群,相遇已是上上签!
05-28 4万+
在之前的章节我们介绍了 [接口测试到底是什么] 以及它的一些基础定义,从该章节开始将正式开始怎么样去做接口测试。实际上现实生活中做任何事情都需要做一些准备工作,做接口测试也是如此。...
Chrome浏览器删除网站cookies的解决方案
weixin_43178406的博客
09-23 6万+
本文主要介绍了Chrome浏览器删除网站cookies的解决方案,希望能对同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
Chrome浏览器 v109.0.5414.75稳定版 64位 离线安装包
01-14
Chrome浏览器 v109.0.5414.75稳定版 64位 离线安装包 最新版本:v109.0.5414.75 稳定版 64位 稳定版32位
chrome-0day简单复现
qq_51954912的博客
04-24 253
文章目录前言漏洞简介复现过程 前言 昨天学长说了一个chrome-0day漏洞,闲来无聊,简单复现一下。 漏洞简介 4月13日,国外安全研究员发布了 Chrome 远程代码执行漏洞 0day利用代码。Google 在代码库和 beta 测试版中修复了此漏洞,但未将更新推送至正式版,因此该漏洞可以威胁最新的 Chrome 浏览器正式版(89.0.4389.114)。 复现过程 首先,这个漏洞影响的版本是Google Chrome: <=89.0.4389.114 这里我就用89.0.4389.114
Chrome浏览器远程代码执行漏洞(无沙箱模式)
曹振国的博客
07-28 1192
文章目录一、漏洞描述二、漏洞影响范围三、漏洞复现1.利用msf生成payload2.生成exp页面3.启动msf监听4.将谷歌浏览器以无沙盒模式运行5.运行html文件,msf成功拿shell 一、漏洞描述 安全公告编号:CNTA-2021-0015 2021年4月14日,国家信息安全漏洞共享平台(CNVD)收录了Google Chrome远程代码执行漏洞(CNVD-2021-27989)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞细节已公开,厂商已发布新版本修复该漏洞。 二、漏洞影响范围
谷歌修复7个 Chrome 浏览器漏洞,CISA建议尽快更新
smellycat000的专栏
06-14 396
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士上周五,美国网络安全和基础设施局 (CISA) 督促用户和管理员更新谷歌在上周发布的Chrome 新版本,修复Chrome 浏览器中的七个漏洞。谷歌在安全公告中说明了四个高风险漏洞,其中三个是由外部研究员报告的。谷歌表示因为大多数用户尚未更新到最新版本 Chrome 102.0.5005.115,因此决定限制对漏洞详情的...
谷歌Chrome紧急修复利用0day
smellycat000的专栏
09-05 304
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌发布适用于Windows、Mac和Linux 用户的Chrome 105.0.5195.102 版本,修复利用的高危漏洞 (CVE-2022-3075),它是今年以来谷歌修复的第六个已利用0day。谷歌在上周五发布安全公告指出,“谷歌发现CVE-2022-3075的exploit在野。”该新版本在桌面稳定版频道推出,谷歌表示将在数天...
CVE-2021-41773漏洞复现
Aquarius_ego的博客
03-24 1482
CVE-2021-41773漏洞复现
【复现】Chrome三天内的第二枚0Day(结合其他漏洞可绕沙箱)
爱国小白帽
04-15 1925
漏洞描述 Google Chrome是由Google开发的免费网页浏览器。经测试,此漏洞影响 Chrome 最新正式版(89.0.4389.128)以及基于Chromium内核的Microsoft Edge正式版(89.0.774.76)。攻击者可通过构造特制web页面并诱导受害者访问来利用此漏洞获得远程代码执行。 影响范围 Google Chrome <= 89.0.4389.128 基于Chromium内核的Microsoft Edge <= 89.0.774.76 其他基于V8引擎的浏览.
C语言 | 第十章 | 函数 作用域
ZJC744575的博客
10-05 1252
为完成某一功能的程序指令(语句)的集合,称为函数。在C语言中,函数分为:自定义函数、系统函数(查看C语言函数手册)函数还有其它叫法,比如方法等,在本视频课程中,我们统一称为 函数。返回类型 函数名(形参列表){执行语句...;// 函数体return 返回值;// 可选形参列表:表示函数的输入函数中的语句:表示为了实现某一功能代码块函数可以有返回值,也可以没有, 如果没有返回值,返回类型 声明为 void。
C++学习笔记----8、掌握类与对象(四)---- 不同类型的数据成员(1)
weixin_71738303的博客
10-05 939
c++对于数据成员给了你许多选项。除了在类中声明简单的数据成员,可以生成静态数据成员供所有类的对象共享,const成员,引用成员,reference-to-const成员,等等。本节我们解释一下这些不同类型的数据成员的细节。
JDK1.0主要特性
最新发布
FoolRabbit的专栏
10-06 366
JDK1.0主要特性。
谷歌浏览器Chrome 109.0.5414.120 x64版发布
两个数字(109)通常指Chrome的大版本号,反映浏览器的主要更新;随后的数字(5414)是小版本号,通常与功能更新相关;最后的一串数字(120)是版本的修订号,通常涉及安全修复和小的功能改进。每个版本号的更新都...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值