google本周发布chrome 95.0.4638.69版稳定版给windows、mac及linux用户,以修补数个高风险漏洞,包括2个已被开采的重大漏洞。
最新版chrome修补了7个高风险漏洞,其中已遭到开采或有开采程序的漏洞为cve-2021-38000及cve-2021-38003。cve-2021-38000为chrome中的intents功能对未信任的输入验证不足,是由google威胁分析小组(tag)研究员clement lecigne、neel mehta及maddie stone通报。
cve-2021-38003则出于chrome v8引擎实例不当,由google tag成员clément lecigne :及project zero研究员samuel groß通报。
其他漏洞包括v8中的类型混淆漏洞cve-2021- 38001,新分页组件的资料验证不足漏洞cve-2021-37999,以及分别位于sign-in、garbage collection及web transport组件中的使用已释放内存漏洞cve-2021-37997、cve-2021-37998及cve-2021-38002。这些漏洞都是外部研究人员发现并通报。
google希望在大部分用户更新前不公开漏洞,因此并未多做描述。
这已是chrome小组今年修补的第15个零时差漏洞。