是的,你没看错。Chrome 浏览器的 26 亿用户需要再次保持高度警惕,因为谷歌又确认了多起对该浏览器进行了高级别网络攻击。
就在 Chrome 浏览器今年第 12 个和第 13 个「"零日」漏洞被发现的几天后,谷歌发表了一篇新的博客文章,提到又有四个高危漏洞已被证实。敦促用户需要立即采取行动。
目前,谷歌正在采取措施限制黑客利用这些漏洞,以争取时间让 Chrome 用户安装安全补丁。因此,我们只有以下信息可以参考:
高 - CVE-2021-37977 : 浏览垃圾收集后出现 Use-after-free
高 - CVE-2021-37978 : Blink 中堆缓冲区溢出
高 - CVE-2021-37979 : WebRTC 中堆缓冲区溢出
高 - CVE-2021-37980 : 沙盒中的不适当实现
虽然我们从这些描述中没有了解到太多信息,但有个有趣的趋势,那就是 Chrome 浏览器继续成为 UAF 漏洞的目标。该浏览器光是在今年 9 月份里就受到了两位数的 UAF 攻击。
列出一对 Heap 缓冲区溢出的漏洞就不那么令人期待了。与 UAF 攻击一样,这是一个内存漏洞,有时也被称为 Heap Smashing。但近两个月来,黑客显然没有对它「青眼有加」。堆上的内存是动态分配的,通常包含程序数据。随着溢出,关键数据结构可以被覆盖,这使得它成为攻击者的理想目标。
作为回应,谷歌已经发布了一个重要安全补丁。谷歌也在博客中提醒用户,要检查你是否受到保护,请导航到设置>帮助>关于 Chrome 浏览器。如果你的 Chrome 浏览器版本是 94.0.4606.81 或更高,你就是安全的。
值得注意的是,Chrome OS 目前无法在中国大陆无障碍使用。国内有一厂商正在打造中国版 Chrome OS —— FydeOS。现能兼容安卓运行环境及 Linux 虚拟机;携带有完整的用户账户体系、升级服务器、企业集管系统和应用商店。从主流 x86 平台电脑设备到嵌入式物联网设备 FydeOS 均可完美适配,是一款可塑性极强的操作系统。
(本文转译自 Forbes,略有增删。)
评论