Google在周四(2/4)发布Chrome 88.0.4324.150,以修补已遭到黑客开采的CVE-2021-21148零时差漏洞。
CVE-2021-21148为一存在于开源JavaScript引擎V8中的堆积缓冲区溢出漏洞,是由安全研究人员Mattias Buelens在1月24日所提报,Google仅说坊间已出现针对该漏洞的攻击程序,并未描述漏洞细节或相关攻击行动,但外界揣测它与近日朝鲜黑客锁定安全社群的攻击行动有关。
包括Google与微软,都曾披露这起针对安全研究人员发动的网络攻击行动。黑客于Twitter上创建多个账号,也打造了安全博客,借由高品质的安全内容来与安全研究人员创建关系,然而,由黑客寄来的文件却含有恶意程序,而访问该安全博客的研究人员也会被植入恶意程序。
根据Google的调查,被恶意程序感染的系统,都是采用最新的Windows操作系统与Chrome浏览器,当时Google应也怀疑黑客可能是开采了Chrome的零时差漏洞,进而鼓励任何知道Chrome安全漏洞的研究人员向Google通报。
而微软则说,确定有研究人员只是通过Chrome访问黑客所掌控的博客,就感染了恶意程序,黑客也许是利用了Chrome的零时差漏洞或是漏洞修补空窗期来展开攻击。
Chrome 88.0.4324.150支持Windows、macOS及Linux操作系统,将在未来几天自动部署至用户端。
领取专属 10元无门槛券
私享最新 技术干货