Google 高额悬赏 4 个 Chrome 漏洞,每个价值 2 万美元
Google 在周二向用户推送了 Chrome 浏览器的补充更新
,更新后版本号升至 92.0.4515.159,该版本为 Chrome 浏览器修复了 9 个漏洞,其中有 7 个漏洞是由外部安全研究人员所发现的。该更新适用于 Windows、Mac 和 Linux。
Google 将漏洞分成了四个等级,此次修复的漏洞不包含四个等级中最高的「严重」漏洞,所有七个都被评为第二级的「高风险」漏洞。这 7 个漏洞的 CVE ID 分别是:
- CVE-2021-30598
- CVE-2021-30599
- CVE-2021-30600
- CVE-2021-30601
- CVE-2021-30602
- CVE-2021-30603
- CVE-2021-30604
其中 CVE-2021-30598 和 CVE-2021-30599,两者均是 V8 JavaScript 引擎中的类型混淆问题,由研究人员 Manfred Paul 在 7 月发现并报告。
类型混淆漏洞通常可以通过诱使目标用户访问一个恶意网站而被利用,它们允许攻击者在网页渲染过程中实现任意代码的执行。成功利用此漏洞可能会导致易受攻击的系统完全受到攻击。Google 为这两个安全漏洞分别向 Paul 支付了 21000 美元,合计 42000 美元。
Google 还修复了 Chrome 浏览器 Printing 中的一个 UAF 漏洞(CVE-2021-30600)和 Extensions API 中的另一个漏洞(CVE-2021-30601),这两个漏洞均由 360 Alpha Lab 的安全研究人员报告。而 Google 为这两个漏洞又分别支付了 2 万美元的漏洞赏金,合计 4 万美元。
为了最大限度的保护用户,防止上述这些漏洞被不法分子利用从而引发大规模的风险,Google 会在大多数用户更新该补丁之前,对漏洞的详细信息进行保留。在当前情况下,目前没有任何报告显示上述漏洞有被利用的迹象。
Google 尚未透露另外几个漏洞的赏金数额 —— 它们分别是 WebRTC 的 UAF 漏洞(CVE-2021-30602),ANGLE 的 UAF 漏洞(CVE-2021-30604)。此外还有一个 WebAudio(CVE-2021-30603)中的竞争条件漏洞(Race Condition)。
需要用户注意的是,上述这些漏洞不只会影响 Chrome 浏览器,其他属于相同架构的 Edge、Brave、Vivaldi 等浏览器同样也是攻击对象,用户最好确认浏览器已更新到最新版本,避免遭到恶意攻击导致个人信息及资料泄漏。
用户可以通过菜单选项 「帮助」->「关于 Chrome 浏览器」手动更新 Chrome 来修复上述问题。对浏览器安全有研究的开发者可以点击链接查看 Chrome 漏洞悬赏计划的详细规则,顺便赚点“零花钱”。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Manjaro 21.1.0
Manjaro 21.1.0 正式版已发布,代号 "Pahvo"。 Manjaro 21.1 是今年发布的Manjaro 21.0的增量更新。除了常见的软件包升级外,一个重要的变化是对 Btrfs 文件系统的增强支持。 此版本对安装程序 Calamares 进行了重大改进,主要变化包括增加用于自动分区的文件系统选择和对 Btrfs 的增强支持。对于 Btrfs 安装,默认 sub-volume布局已得到改进,以便更轻松地回滚并减少快照上的空间浪费。此外,还为 Btrfs 文件系统上的swapfiles 文件提供支持。 桌面环境方面,GNOME 桌面版本的 Manjaro 在升级到 GNOME 40 后进行了重大变更,例如重新设计了默认布局,以更紧密地遵循上游默认设置。对于偏好垂直桌面布局的用户,可以使用 Manjaro 传统布局。开发团队表示,他们会确保gnome-layout-switcher附带的所有布局在过渡到 GNOME 40 后仍然有效。 Plasma 桌面版本除了常规升级外,还正在努力迁移到 Wayland,已提供更好的体验和更高的稳定性。 Xfce 桌面版本的窗口管理器在...
- 下一篇
Apollo GraphQL 融资 1.3 亿美元:创建开创性开源 graph 技术
Apollo GraphQL宣布筹集了 1.3 亿美元的 D 轮融资;由 Insight Ventures 领投,现有投资者 Andreessen Horowitz 和 Matrix Partners 参投。本轮融资完成后,该公司估值达到 15 亿美元。 官方表示,他们将利用这笔资金创建开创性的开源 graph 技术,让每个人都能更快、更轻松地开发应用程序。数据显示,目前已有86% 的 JavaScript 开发人员将 GraphQL 列为他们最想学习的技术。“开发人员信任 Apollo 来实现他们的 graph,每月开源下载量超过1700万,每天在 Apollo graph上运行的查询量超过 60 亿。Apollo 始终是一个开发者社区,我为我们共同取得的成就感到自豪。” GraphQL是一种用于 API 的查询语言也是一个满足你数据查询的运行时,由 Facebook 开发并于 2015 年开源的。GraphQL 对你的 API 中的数据提供了一套易于理解的完整描述,使得客户端能够准确地获得它需要的数据,而且没有任何冗余,也让 API 更容易地随着时间推移而演进,还能用于构建强大的开...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- Red5直播服务器,属于Java语言的直播服务器
- Windows10,CentOS7,CentOS8安装Nodejs环境
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Docker使用Oracle官方镜像安装(12C,18C,19C)