Google 发布 Chrome 更新，修补七个安全漏洞

Google 周三针对 Windows、Mac 和 Linux 端的 Chrome 浏览器发布了更新，更新后版本号来到了 90.0.4430.85。该版本中包含七个安全补丁，其中包括一个已被利用的零日漏洞。

Chrome 技术项目经理 Srinivas Sista 在撰写的公告中介绍了五个漏洞：

• CVE-2021-21222: V8的堆缓冲区溢出，由奇虎 360 阿尔法实验室于 2021-03-30 报告；
• CVE-2021-21223: Mojo 中的整数溢出，由奇虎 360 阿尔法实验室于 2021-04-02 报告；
• CVE-2021-21225: V8 中的越界内存访问，于 2021-04-05 报告；
• CVE-2021-21226: 在导航中UAF（Use after Free）漏洞，于 2021-04-11 报告；
• CVE-2021-21224: V8 中的类型混淆，由 VerSprite Inc. 于 2021-04-05 报告；

其中最后一个标识符为 CVE-2021-21224 的漏洞即是零日漏洞。Srinivas Sista 在公告中写道："Google 已了解到有报告指出 CVE-2021-21224 漏洞有被利用的情况“，但并没有分享任何有关该零日漏洞的细节。

不过，根据安全专家在 Twitter 上分享的内容显示，这个远程代码执行漏洞不能被攻击者利用来逃避 Chromium 的沙盒安全功能（一种旨在阻止漏洞在主机上访问文件或执行代码的安全功能）。

该更新将在未来几天陆续推送至用户的设备上，用户也可以手动检查更新及时修复上述问题。