尽快更新Google Chrome以修补2个新的积极利用的零日漏洞

谷歌（Google）周四推出了Chrome浏览器的紧急安全修复方案，包括一对新的安全漏洞，该公司称这些漏洞正在被广泛利用，仅本月就成为第四个和第五个活跃的零漏洞。

这些问题被命名为CVE-2021-37975和CVE-2021-37976，是总共四个补丁的一部分，涉及V8 JavaScript和WebAssembly引擎中的免后使用漏洞，以及内核中的信息泄漏。

与通常的情况一样，这家科技巨头没有透露关于这些零日漏洞如何被用于攻击的任何额外细节，以允许大多数用户使用补丁进行更新，但指出它知道“CVE-2021-37975和CVE-2021-37976的漏洞存在于野外”

一位匿名研究员报告了CVE-2021-37975。另一方面，CVE-2021-37976的发现涉及谷歌威胁分析集团的Clément Lecigne，他也被认为与CVE-2021-37973有关，这是继上周报道的Chrome门户API中的免费漏洞之后，另一个被积极利用的用途，这增加了这两个缺陷可能被串连在一起作为漏洞链的一部分来执行任意代码的可能性。

通过最新的更新，谷歌在网络浏览器上发布了自年初以来创纪录的14个零日。

• CVE-2021-21148-V8中的堆缓冲区溢出
• CVE-2021-21166-音频中的对象回收问题
• CVE-2021-21193-眨眼后自由使用
• CVE-2021-21206-眨眼后自由使用
• CVE-2021-21220-对x86_64的V8中不受信任的输入验证不足
• CVE-2021-21224-V8中的类型混淆
• CVE-2021-30551-V8中的类型混淆
• CVE-2021-30554-在WebGL中免费使用
• CVE-2021-30563-V8中的类型混淆
• CVE-2021-30632-V8中的越界写入
• CVE-2021-30633-在索引DB API中免费使用
• CVE-2021-37973-在门户网站中免费使用

建议Chrome用户在Windows、Mac和Linux上更新至最新版本（94.0.4606.71），方法是转到设置>；帮助>；'关于Google Chrome’以降低任何潜在的主动攻击风险。