之前Google警告 Chrome 用戶,零日攻擊對 Chrome 的攻擊繼續加劇,Google已經確認了兩個更嚴重的黑客攻擊並進行更新。
零日攻擊漏洞
Google透露 Chrome 已經發現了今年第 12 次和第 13 次「零日」漏洞(CVE-2021-37975 和 CVE-2021-37976),它們影響了 Linux、macOS 和 Windows 用戶。而零日攻擊至關重要,因為這意味著在 Google 發布修復程序之前,黑客就知道它們的存在並有可能用作不法用途。這將 Chrome 用戶置於直接危險之中。Google重申了這一點,稱它「知道 CVE-2021-37975 和 CVE-2021-37976 的漏洞存在於野外。」
按照協議,Google正在限制有關這兩種黑客的信息,以便為 Chrome 用戶爭取時間升級。該公司透露的唯一細節如下,以及進一步的「高」級威脅:
CVE-2021-37974:在安全瀏覽中免費使用。來自Qi’anxin集團 Legendsec Codesafe 團隊的 Weipeng Jiang (@Krace) 於 2021-09-01 報告高 — CVE-2021-37975:在 V8 中免費使用。 Anonymous 在 2021-09-24Medium 上報告 — CVE-2021-37976:核心信息洩漏。由來自 Google TAG 的 Clément Lecigne 報導,並得到了來自 Google Project Zero 的 Sergei Glazunov 和 Mark Brand 的技術協助。
值得注意的是,第一個零日攻擊是「釋放後使用」(UAF) 漏洞,在過去幾個月中,它一直是黑客的目標。 9 月和 10 月 Chrome 上記錄了兩位數的 UAF 攻擊,看起來也將如此。 UAF 漏洞是內存漏洞,當程序在釋放內存後未能清除指向內存的指針。
Google新版本更新
為了解決這個問題,Google發布了一個重要的更新。該公司確實警告 Chrome 用戶,推出將錯開,因此並非每個人都能立即保護自己。要檢查你是否受到保護,請導航至設置 > 幫助 > 關於 Google Chrome。如果你的 Chrome 版本為 94.0.4606.71 或更高版本,則你是安全的。如果你的瀏覽器還沒有更新,請定期檢查新版本。
並記住關鍵的最後一步。即使在更新之後,Chrome 在重新啟動之前也是不安全的。Google快速修補 Chrome 黑客,但黑客從 Chrome 用戶那裡找到了豐富的選擇,他們沒有意識到在更新安裝後他們仍然容易受到攻擊。現在去檢查你的瀏覽器是否已經更新。