Google Chrome零時差V8漏洞危險指數升高!Edge、Brave、Vivaldi皆受影響
Google周五緊急發佈新版Chrome 88.0.4324.150 ,修補一個已遭到積極開採的零時差漏洞,同為Chromium核心的瀏覽器,包括Microsoft Edge、Brave、Vivaldi用戶皆需小心。
Google表示,新版Chrome預計未來幾天到幾周將陸續發佈給Windows、macOS及Linux作業系統用戶。而在大多數Chrome版本獲得更新之前,Google並不公佈詳細內容。此外,為防該漏洞也可能存在其他專案共享的第三方函式庫,因此Google也暫時關閉該函式庫的存取。
新漏洞編號為CVE-2021-21148,Google是在外部安全研究人員Mattias Buelens於1月底通報而得知。本漏洞影響Chrome處理JavaScript V8引擎,V8負責把網頁一些互動元件如按鍵的JavaScript程式碼,翻譯成低階機器程式碼,使電腦處理器得以理解。一旦漏洞遭成功開採,可能造成堆積緩衝溢位,使硬體的記憶體執行惡意活動,像是安裝惡意程式或是修改資料。
Vivaldi安全專家Tarquin Wilton-Jones指出,V8漏洞會影響所有Chromium瀏覽器,而不僅Chrome。這意謂著Microsoft Edge、Brave、Vivaldi、Opera和其他Chromium-based瀏覽器都必須立即更新。Firefox則暫時不受影響。
Vivaldi說已經釋出了桌機版Vivaldi瀏覽器的修補程式,其中包含Chromium更新,也正在測試Android版Vivaldi的更新版本。微軟也很快就釋出Edge 88.0.705.63 穩定版。