另一个谷歌Chrome 0天漏洞被发现在野外被积极利用

谷歌在Chrome浏览器中又一次积极利用了zero day，这是该公司在一个月内发布的第二个此类修复程序。

这家浏览器制造商上周五发布了适用于Windows、Mac和Linux的89.0.4389.90，预计将在未来几天/几周内向所有用户推出。

虽然此次更新共包含五个安全补丁，但谷歌纠正的最重要缺陷涉及其Blink渲染引擎中的释放后使用漏洞。该漏洞被追踪为CVE-2021-21193。

Details about the flaw are scarce except that it was reported to Google by an anonymous researcher on March 9.

据IBM称，在CVSS级别上，该漏洞的等级为8.8分（满分为10分），远程攻击者可以在目标系统上执行任意代码。“通过说服受害者访问精心设计的网站，远程攻击者可以利用该漏洞在系统上执行任意代码或造成拒绝服务情况，”报告称。

与通常情况下积极利用漏洞的情况一样，谷歌发布了一份简短的声明，承认存在针对CVE-2021-21193的漏洞，但在大多数用户更新补丁并防止其他威胁行为人针对这一零日进行攻击之前，谷歌没有分享额外信息。

Chrome技术项目经理Prudhvikumar Bommana在一篇博客文章中指出：“谷歌知道有报道称，在野外存在对CVE-2021-21193的攻击。”。

通过这次更新，谷歌自年初以来已经修复了Chrome浏览器中的三个零日缺陷。

本月早些时候，该公司发布了一个针对“音频中的对象生命周期问题”（CVE-2021-21166）的修复程序，称该问题正在被积极利用。然后在2月4日，该公司在其V8 JavaScript渲染引擎中解决了另一个被积极利用的堆缓冲区溢出漏洞（CVE-2021-21148）。

Chrome用户可以通过标题“设置”更新至最新版本>；帮助>；关于Google Chrome以降低与该漏洞相关的风险。