新Chrome浏览器0天受到主动攻击，立即更新！

谷歌已经修补了Chrome桌面浏览器中的一个零日漏洞，称该漏洞正在被广泛利用。

该公司发布了适用于Windows、Mac和Linux的88.0.4324.150，并修复了其V8 JavaScript渲染引擎中的堆缓冲区溢出漏洞（CVE-2021-21148）。

谷歌在一份声明中表示：“谷歌知道有报道称，CVE-2021-21148的漏洞存在于野外。”。

The security flaw was reported to Google by Mattias Buelens on January 24.

此前在2月2日，谷歌解决了Chrome中的六个问题，包括支付中的一个关键使用漏洞（CVE-2021-21142），以及扩展、标签组、字体和导航功能中的四个严重缺陷。

虽然谷歌通常会限制漏洞的详细信息，直到大多数用户都更新了修复程序，但这一进展发生在谷歌和微软披露朝鲜黑客对安全研究人员发起的攻击数周后，他们发起了一场精心策划的安装Windows后门的社会工程活动。

由于一些研究人员仅仅通过访问一个关于运行Windows 10和Chrome浏览器的完全修补系统的虚假研究博客而受到感染，微软在1月28日发布的一份报告中暗示，攻击者可能利用Chrome zero日来危害系统。

虽然目前尚不清楚CVE-2021-21148是否被用于这些攻击，但披露的时间以及谷歌的建议在布伦斯报告该问题的整整一天后公布的事实表明，它们可能有关联。

在另一份技术报告中，韩国网络安全公司ENKI表示，朝鲜国家支持的黑客组织Lazarus试图用恶意MHTML文件攻击其安全研究人员，但没有成功，这些文件在打开时从远程服务器下载了两个有效载荷，其中一个包含对Internet Explorer的零日攻击。

ENKI研究人员说：“第二有效载荷包含攻击Internet Explorer浏览器漏洞的攻击代码。”。

值得注意的是，谷歌去年在10月20日至11月12日之间的一个月内修复了五个Chrome zero日，这些日在野外被积极利用。