云网牛站
所在位置:首页 > Linux新闻 > Chrome 89修复CVE-2021-21166零日漏洞,附CVE-2021-21166说明

Chrome 89修复CVE-2021-21166零日漏洞,附CVE-2021-21166说明

2021-03-04 15:07:15作者:linux人稿源:linux站

因为在Chrome 89版本中修复了一个重大的零日漏洞,标识为CVE-2021-21166,所以建议使用Google Chrome浏览器的用户尽快升级到新版本中来,该漏洞影响Linux、Windows及MacOS。下面将附上CVE-2021-21166的说明。

 

新闻详情

Chrome 89修复CVE-2021-21166零日漏洞,附CVE-2021-21166说明

谷歌已经正式推出了Chrome 89,除了为用户带来一些新功能,还修补了诸多错误,参考谷歌Chrome 89浏览器发布下载,附新功能和特性更新介绍。该公司称:Chrome 89.0.4389.72总共包含了47个安全修复程序,且其中一个凌日漏洞正在野外被积极利用。如果你碰巧是谷歌浏览器用户,还请及时升级到最新版本。

上面提到的零日漏洞,标识为CVE-2021-21166,至于更多细节,谷歌暂未深度分享,仅将其标为“高优先级”和“音频中的对象生命周期问题”。

如果尚未自动升级到Chrome 89,还请点击右上角的菜单图标,移步至“帮助 ->关于Google Chrome”以获取更新。

 

关于CVE-2021-21166的说明

注:谷歌将该0day评级为“高危“,称其为”音频中的Object生命周期问题“。该漏洞是由微软浏览器漏洞研究团队的研究员Alison Huffman在2021年2月11日提交的。

谷歌当前并未详细透露该漏洞的相关细节,因为披露过早的话如果用户没有升级新版本就有可能造成潜在的威胁。因此只有在多数用户都已经升级新版本规避该漏洞的情况下,谷歌浏览器才会考虑将此安全漏洞的细节公开披露。

目前只知道这枚安全漏洞是微软安全团队的研究人员发现的,主要涉及谷歌浏览器音频播放模块的生命周期问题。这名微软研究人员还在谷歌浏览器里发现类似的漏洞的,这枚类似安全漏洞也与音频播放相关且标记为严重等级。

重要强调:大多数用户修复该漏洞之前,不会公开漏洞详情和相关链接。如果其它项目所依赖的第三方库中存在该漏洞且并未修复,则详情和链接发布仍然会受限。也就是说,官方对CVE-2021-21166做出解释需要很长的时间,因为很多人的谷歌浏览器不会自动升级。对于使用者,最关键的是及时修复漏洞,而不是忙着知道原因。

 

相关主题

安装使用lynis扫描Linux的安全漏洞

精选文章
热门文章