Google 高额悬赏 4 个 Chrome 漏洞，每个价值 2 万美元-低调大师

Google 高额悬赏 4 个 Chrome 漏洞，每个价值 2 万美元

2021-08-18 775

Google 在周二向用户推送了 Chrome 浏览器的补充更新，更新后版本号升至 92.0.4515.159，该版本为 Chrome 浏览器修复了 9 个漏洞，其中有 7 个漏洞是由外部安全研究人员所发现的。该更新适用于 Windows、Mac 和 Linux。

Google 将漏洞分成了四个等级，此次修复的漏洞不包含四个等级中最高的「严重」漏洞，所有七个都被评为第二级的「高风险」漏洞。这 7 个漏洞的 CVE ID 分别是：

CVE-2021-30598
CVE-2021-30599
CVE-2021-30600
CVE-2021-30601
CVE-2021-30602
CVE-2021-30603
CVE-2021-30604

其中 CVE-2021-30598 和 CVE-2021-30599，两者均是 V8 JavaScript 引擎中的类型混淆问题，由研究人员 Manfred Paul 在 7 月发现并报告。

类型混淆漏洞通常可以通过诱使目标用户访问一个恶意网站而被利用，它们允许攻击者在网页渲染过程中实现任意代码的执行。成功利用此漏洞可能会导致易受攻击的系统完全受到攻击。Google 为这两个安全漏洞分别向 Paul 支付了 21000 美元，合计 42000 美元。

Google 还修复了 Chrome 浏览器 Printing 中的一个 UAF 漏洞（CVE-2021-30600）和 Extensions API 中的另一个漏洞（CVE-2021-30601），这两个漏洞均由 360 Alpha Lab 的安全研究人员报告。而 Google 为这两个漏洞又分别支付了 2 万美元的漏洞赏金，合计 4 万美元。

为了最大限度的保护用户，防止上述这些漏洞被不法分子利用从而引发大规模的风险，Google 会在大多数用户更新该补丁之前，对漏洞的详细信息进行保留。在当前情况下，目前没有任何报告显示上述漏洞有被利用的迹象。

Google 尚未透露另外几个漏洞的赏金数额 —— 它们分别是 WebRTC 的 UAF 漏洞（CVE-2021-30602），ANGLE 的 UAF 漏洞（CVE-2021-30604）。此外还有一个 WebAudio（CVE-2021-30603）中的竞争条件漏洞（Race Condition）。

需要用户注意的是，上述这些漏洞不只会影响 Chrome 浏览器，其他属于相同架构的 Edge、Brave、Vivaldi 等浏览器同样也是攻击对象，用户最好确认浏览器已更新到最新版本，避免遭到恶意攻击导致个人信息及资料泄漏。

用户可以通过菜单选项「帮助」->「关于 Chrome 浏览器」手动更新 Chrome 来修复上述问题。对浏览器安全有研究的开发者可以点击链接查看 Chrome 漏洞悬赏计划的详细规则，顺便赚点“零花钱”。

微信关注我们

原文链接：https://www.oschina.net/news/156187/google-awards-chrome-researchers

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Manjaro 21.1.0

Manjaro 21.1.0 正式版已发布，代号 "Pahvo"。 Manjaro 21.1 是今年发布的Manjaro 21.0的增量更新。除了常见的软件包升级外，一个重要的变化是对 Btrfs 文件系统的增强支持。此版本对安装程序 Calamares 进行了重大改进，主要变化包括增加用于自动分区的文件系统选择和对 Btrfs 的增强支持。对于 Btrfs 安装，默认 sub-volume布局已得到改进，以便更轻松地回滚并减少快照上的空间浪费。此外，还为 Btrfs 文件系统上的swapfiles 文件提供支持。桌面环境方面，GNOME 桌面版本的 Manjaro 在升级到 GNOME 40 后进行了重大变更，例如重新设计了默认布局，以更紧密地遵循上游默认设置。对于偏好垂直桌面布局的用户，可以使用 Manjaro 传统布局。开发团队表示，他们会确保gnome-layout-switcher附带的所有布局在过渡到 GNOME 40 后仍然有效。 Plasma 桌面版本除了常规升级外，还正在努力迁移到 Wayland，已提供更好的体验和更高的稳定性。 Xfce 桌面版本的窗口管理器在...

2021-08-19

1154

Apollo GraphQL宣布筹集了 1.3 亿美元的 D 轮融资；由 Insight Ventures 领投，现有投资者 Andreessen Horowitz 和 Matrix Partners 参投。本轮融资完成后，该公司估值达到 15 亿美元。官方表示，他们将利用这笔资金创建开创性的开源 graph 技术，让每个人都能更快、更轻松地开发应用程序。数据显示，目前已有86% 的 JavaScript 开发人员将 GraphQL 列为他们最想学习的技术。“开发人员信任 Apollo 来实现他们的 graph，每月开源下载量超过1700万，每天在 Apollo graph上运行的查询量超过 60 亿。Apollo 始终是一个开发者社区，我为我们共同取得的成就感到自豪。” GraphQL是一种用于 API 的查询语言也是一个满足你数据查询的运行时，由 Facebook 开发并于 2015 年开源的。GraphQL 对你的 API 中的数据提供了一套易于理解的完整描述，使得客户端能够准确地获得它需要的数据，而且没有任何冗余，也让 API 更容易地随着时间推移而演进，还能用于构建强大的开...

2021-08-19

710

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。