尽快更新你的Chrome浏览器以修补一周前的公共漏洞

谷歌周二发布了针对Windows、Mac和Linux的Chrome网络浏览器的更新，共修复了七个安全漏洞，其中包括一个漏洞，谷歌称该漏洞存在于野外。

追踪为CVE-2021-21224，该漏洞涉及V8开源JavaScript引擎中的一个类型混淆漏洞，安全研究员Jose Martinez于4月5日向该公司报告了该漏洞

根据安全研究员曹磊的说法，当执行整数数据类型转换时，会触发错误[1195777]，导致越界条件，可用于实现任意内存读/写原语。

Chrome的技术项目经理斯里尼瓦斯·西斯塔（Srinivas Sista）在一篇博客文章中说：“谷歌知道有报道称，CVE-2021-21224的漏洞存在于野外。”。

4月14日，一位名为“frust”的研究人员发布了利用该漏洞的概念验证（PoC）代码，利用V8源代码解决了这个问题，但该补丁没有集成到Chrome代码库和所有依赖它的浏览器（如Chrome、Microsoft Edge、，勇敢，维瓦尔第和歌剧。

一周的补丁间隔意味着浏览器容易受到攻击，直到发布在开源代码库中的补丁作为稳定更新发布。

值得注意的是，谷歌将Chrome 76中的“补丁间隔”中值从33天减少到了Chrome 78中的15天，Chrome 78于2019年10月发布，从而每两周推出一次严格的安全修复。

最新的一组修复也接近于搜索引擎巨头上周推出的两个安全漏洞CVE-2021-21206和CVE-2021-21220的补丁，后者在本月早些时候在PWN2WON 2021黑客竞赛中展示。

Chrome 90.0.4430.85预计将在未来几天推出。用户可以通过标题“设置”更新至最新版本>；帮助>；关于谷歌Chrome，以减轻与缺陷相关的风险。