Google紧急修补两个已被开采的Chrome零时差漏洞

Google在9月30日发布了Chrome 94.0.4606.71，以修补3个安全漏洞，其中并有两个已遭黑客开采。

该紧急发布的新版Chrome修补了CVE-2021-37974、CVE-2021-37975与CVE-2021-37976。其中的CVE-2021-37974为安全浏览的释放后使用漏洞，CVE-2021-37975为V8的释放后用户漏洞，CVE-2021-37976则是核心的信息外泄露洞。

Google也透露，坊间已出现了针对CVE-2021-37975及CVE-2021-37976漏洞的攻击程序，但只把细节提供给特定的安全社群。

这次Google修补的3个安全漏洞中，就有两个与释放后使用（Use After Free）有关，根据非营利组织Mitre所公布的2021年常见漏洞排行榜，释放后使用名列25个常见漏洞的第七名，当黑客在内存发布后引用它，可能造成程序宕掉，也可用来执行任意程序。

Google将在未来几天或几周内陆续部署Chrome 94.0.4606.71至Windows、macOS与Linux等平台上，Chrome的默认值为自动更新，用户也可通过“关于Google Chrome”执行手动更新。