谷歌Chrome 紧急修复已遭利用的两个0day

最新推荐文章于 2024-10-03 23:14:19 发布
最新推荐文章于 2024-10-03 23:14:19 发布
阅读量227 收藏 1
点赞数
文章标签: 微软 信息安全 安全 linux java
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247508832&idx=2&sn=35432117540e416637e9bf098b7328ef&chksm=ea94920adde31b1c3d02d93bacf14fcb010212a7eda50a6d71baa5f86ea35683c090df4ced46&scene=126&&sessionid=0
版权

a346cfa86de7b11e3da5800977daf256.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

e62c883cb7daf9e53124ebf6dab757c6.png

ba96394a78d603ac72666dad70e7ccd0.png

谷歌发布适用于 Windows、Mac 和 Linux 系统的 Chrome 95.0.4638.69 版本,修复已遭利用的两个0day(CVE-2021-38000和CVE-2021-38003)。

虽然谷歌表示新版本可能需要一点时间才能推送给所有人,但已开始在 Stable Desktop 频道向全球用户推出更新版本 Chrome 95.0.4638.69。如用户需立即安装新版本,则可通过 Chrome menu > Help > About Google Chrome,之后浏览器将开始执行更新。另外, Chrome 也会检查可用更新并在用户下次启动浏览器时安装。

17572ddc73b711af4de1866303d74064.gif

详情未披露

谷歌本次发布的 Chrome 版本共修复了7个漏洞,上述两个0day已遭在野利用。

第一个0day 是CVE-2021-38000,是由“对 Intents 中不可信输入的验证不充分“造成的,严重等级为”高危“。该漏洞是由谷歌威胁分析组织的研究员 Clement Lecigne、Neel Mehta 和 Maddie Stone 在2021年9月15日发现的。

第二个0day 是 CVE-2021-38003,是存在于 Chrome JavaScript 引擎中的 “实现不正确“高危漏洞,是由 Lecigne 在10月24日发现并报告的。

截至目前,谷歌或安全研究员并未透露威胁行动者如何在攻击中利用这些漏洞。不过既然是谷歌公司自己发现的,之后 TAG 或 Project Zero 团队可能会发布相关报告。

由于这两个漏洞已被用于攻击中,因此建议所有 Chrome 用户手动更新或重启浏览器安装最新版本。

1025099939f991a58406b27ce60e310e.gif

今年修复的第14和第15个0day

这是谷歌自2021年以来修复的第15个0day。其它13个0day是:

  • CVE-2021-21148 – 2021年2月4日

  • CVE-2021-21166 - 2021年3月2日

  • CVE-2021-21193 - 2021年3月12日

  • CVE-2021-21220 - 2021年4月13日

  • CVE-2021-21224 – 2021年4月20日

  • CVE-2021-30551 - 2021年6月9日

  • CVE-2021-30554 - 2021年6月17日

  • CVE-2021-30563 - 2021年7月15日

  • CVE-2021-30632 和CVE-2021-30633 – 9月13日

  • CVE-2021-37973 - 2021年9月24日

  • CVE-2021-37976 和CVE-2021-37975 - 2021年9月30日

推荐阅读

谷歌紧急修复已遭在野利用的Chrome 0day

谷歌修复已遭在野利用的两个 0day

谷歌悄悄修复4个 0day

微软公开PrintNightmare系列第3枚无补丁0day,谷歌修复第8枚已遭利用0day

谷歌公布4个0day详情,其中3个被滥用于攻击亚美尼亚

原文链接

https://www.bleepingcomputer.com/news/google/emergency-google-chrome-update-fixes-zero-days-used-in-attacks/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

6cf2e88b233a1849f36ade2742c640fa.png

11551756b44241c1ba3b0ed0f3fbeccc.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   d79673b0234270bd198fad54a4362b5f.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
Google发布安全更新,修复Chrome中已被利用的0 day
不忘初心,护天下安全!
07-06 260
Google Chrome 是全球主流的免费浏览器之一,用户群体广泛,具有快速、高效、安全等特点。7月4日,Google发布为Windows用户发布Chrome 103.0.5060.114,修复了2022年Chrome中的第4个0 day。该漏洞是WebRTC(Web实时通信)组件中基于堆的缓冲区溢出漏洞(CVE-2022-2294),由Avast的研究团队于7月1日披露。Google透露该漏洞已被在野利用,但并未公开关于攻击的技术细节等信息。攻击者可利用该漏洞,构造恶意数据造成缓冲区溢出攻击,并执行远程
Google Chrome 123.0.6312.123便携增强版
04-15
谷歌浏览器2024最新便携增强版,Google Chrome浏览器增强版,无更新组件集成增强补丁,Chrome++增强软件功能包括:保存数据实现便携式,增强标签页和标签栏操作方式,移除开发者模式警告和更新错误警告等. 提示!!!电脑...
谷歌紧急修复在野利用0day
smellycat000的专栏
04-15 247
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士摘要谷歌发布 Windows、Mac 和 Linux 版本的 Chrome 100.0.4896.127,修复利用的高危0day漏洞(CVE-2022-1364)。谷歌发布安全公告指出,“谷歌发现在野存在 CVE-2022-1364的exploit。”虽然谷歌表示将在未来几周内推出该 Chrome 更新,但用户可立即...
CVE-2021-36934复现
江左盟的博客
07-24 1万+
漏洞简介 微软在7月20日发布紧急安全公告,公开了一个Windows提权漏洞。由于对多个系统文件(包括安全帐户管理器 (SAM) 数据库)的访问控制列表 (ACL) 过于宽松,攻击者可读取SAM,SYSTEM,SECURITY等文件内容,进而获取用户NTLM Hash值,从而通过解密Hash值或Hash传递等方法造成特权提升漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。 影响范围 微软确认此问题会影响 Windows 10 版本 1809 和更新的操作系统,其他版本还在确认中。 环境
谷歌紧急修复在野利用的高危 V8 0day (CVE-2021-4102)
smellycat000的专栏
12-14 533
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌为 Windows、Mac 和 Linux 系统发布 Chrome 96.0.4664.110 版本,修复一个已在野利用的位于V8...
MAC安装Chrome之后,无法正常运行(闪退);MAC无法打开Chrome
一面之媛
02-12 4931
https://blog.csdn.net/u010113247/article/details/79290633
Chrome崩溃常见的三种解决办法
热门推荐
UF147的博客
03-25 3万+
Chrome崩溃常见的三种解决办法 问题描述:Chrome包括设置页面在内的所有页面都崩溃,提示“喔唷,崩溃啦!”,重启Chrome程序和电脑都无法解决。 解决方法一: 推测可能是百度遗留的系统文件导致的,查看C:\Windows\System32\drivers目录及子目录下有没有bd*.sys文件,如果有则删除该类文件,如果无法删除就修改文件名。重启Chrome看下效果。 方法二: 右键单击C...
谷歌Chrome浏览器安装包(exe,两个版本)
06-27
谷歌Chrome浏览器是由Google开发的一款网页浏览器,它于2008年9月发布第一个公开测试版,2010年12月正式发布。以下是Chrome浏览器的一些特点和功能: 特点 快速:Chrome浏览器采用了V8引擎,能够快速执行JavaScript...
Google chrome 修复工具
03-30
这时,"Google Chrome 修复工具"就显得尤为重要,它是一个专门用于诊断和解决Chrome浏览器问题的实用程序。 ### 一、修复工具的用途 1. **故障排除**:此工具可以帮助用户识别和解决Chrome浏览器中的各种错误,...
googlechrome117.0.5938.150.exe
10-07
谷歌浏览器(googlechrome)117.0.5938.150版本,适用于Windows系统。
谷歌修复利用Chrome 0day
smellycat000的专栏
02-05 1193
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队谷歌修复Chrome 88.0.4324.150版本中一个已利用0day 漏洞,影响 Windows、Mac 和 ...
Mac电脑关于chrome浏览器上卡死的问题
菜鸟的打怪升级之路
01-06 1万+
问题: 在使用mac电脑Chrome浏览器的时候发现经常卡死,找不到原因,查看CPU能飙到200多。 原因 在Chrome设置里面使用了硬件加速导致会卡住,,所以关闭之后效果就会好很多
【复现】最新Chrome远程代码执行0Day
爱国小白帽
04-13 1918
** ** 该漏洞已验证,目前Google只针对该漏洞发布了beta测试版Chrome(90.0.4430.70)修复Chrome( 89.0.4389.114)及以下正式版仍存在该漏洞。 利用条件: 此漏洞无法逃逸沙箱,需关闭沙箱环境才能触发,命令如下: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -no-sandbox 修复修复方法很简单,因为沙箱环境是默认开启的,所以你只要没关过就不用管 但还是要注意,网上的h.
Windows Print Spooler服务最新漏洞CVE-2021-34527详细分析
爱国小白帽
07-09 1万+
0x00 前言 近日,有安全研究员在github上公开了"CVE-2021-1675"的exp PrintNightmare,后经验证公开的exp是一个与CVE-2021-1675不同的漏洞,微软为其分配了新的编号CVE-2021-34527。这篇文章记录了CVE-2021-34527的复现过程,并对漏洞成因进行了简单的分析。 0x01 漏洞复现 这里记录域控环境下使用普通权限域账户实现RCE反弹nt authority\system shell的过程。下面的漏洞复现和漏洞分析都是基..
Chrome 远程代码执行0Day 简单复现
feng的博客
04-13 788
前言 今天学长告诉我谷歌最新版出了个远程代码执行0day: 【POC公开】Chrome 远程代码执行0Day漏洞通告 反正闲的没事,也本地实验一下。 复现 看一下推特: 今天中午爆出来的,作者也在github上给出了EXP: chrome-0day 影响版本是Google:Chrome: <=89.0.4389.114,确实到了最新版: 开个虚拟机去虚拟机里复现一波。 要求是谷歌浏览器没有开启SandBox模式,其实大部分谷歌浏览器都是开启的,可能只有少部分给关掉了。 谷歌浏览器这里改一下: 最
13个字符立即崩溃你的Mac版Chrome
壹加贰等叁
03-24 765
如果你现在正在用苹果Mac版Chrome浏览器,那么恭喜你——一串字符就能让你的Chrome瞬间崩溃。 神器的字符串 这串13字符的(貌似是亚述语)字符串就会让你OS X中Chrome(当前标签)瞬间崩溃,不过这串文字对Windows,、Android无效。 不信试试? 如果你正在Mac上使用Chrome,千万不要点击下面的链接——因为这个页面里面包含了这13个字符:
网络安全 网络安全的主要领域 安全威胁 防护技术 安全策略 未来趋势
最新发布
weixin_42462436的博客
10-03 1538
随着智能手机和平板电脑的广泛使用,移动设备的安全(如数据加密、设备丢失保护等)也成为重点。由国家级或高级黑客组织发起的持续性、高度隐蔽的网络攻击,通常以窃取敏感信息为目的。使用加密、访问控制、数据备份等手段来保护信息免受未经授权的访问、修改或删除。包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等技术的使用。保证操作系统和相关服务的安全,包括权限控制、补丁管理、系统日志监控等。利用全球收集的安全信息和分析工具,提前识别并防御潜在的威胁。关注对虚拟化平台、API安全、数据隔离和访问管理的控制。
信息安全工程师(28)机房安全分析与防护
m0_73399576的博客
10-02 1036
信息安全工程师——机房安全分析与防护篇
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值