Google Chrome修补今年第三个遭开采的零时差漏洞

继二月及本月初后，Google本周再发布ChromePC机版更新，以修补3个程序代码执行漏洞，包括一个已遭开采的零时差漏洞。

Windows、Mac及Linux版本的89.0.4389.90版，已通过稳定（Stable）信道发布。最新更新包含5项安全修补程序，其中3个为高度风险，包括CVE-2021-21191、CVE-2021-21192及CVE-2021-21193。

Google以安全为由，在大多数用户升级前不公开漏洞信息，不过捷克安全厂商Cybersecurity Help仍提供了部分说明。

其中CVE-2021-21191存在WebRTC组件中，攻击者若能诱使用户点击打开恶意网站，即能触发使用已释放内存（Use-After-Free）错误，并在受害系统上执行任意程序代码。CVE-2021-21192是微软浏览器安全研究中心通报，出现在Chrome分页群组功能中，若用户连上远程攻击者设立的恶意网站，将可触发堆积缓冲溢出（heap buffer overflow），让攻击者在其计算机上执行任意程序代码。

第三项漏洞CVE-2021-21193则位于Chrome的Blink图像运算引擎，也是通过诱使用户访问恶意网站，来触发使用已释放内存错误，进而执行任意程序代码。和前面两者不同的是，CVE-2021-21193已经有不明开采活动。这是本月第二起，也是今年第三个遭到开采的零时差漏洞。

3项漏洞影响Google Chrome 86到89版，Google也呼吁用户尽快安装更新版。