谷歌修复另一枚已遭利用的 Chrome 释放后使用0day，细节未公开

谷歌修复了 Chrome 浏览器中已遭利用的另一枚 0day，成为该公司在一个月内修复的第二枚 0day。

上周五，谷歌发布 Windows、Mac 和 Linux 版本的Chrome 89.0.4389.90，有望在未来几天或几周的时间内向所有用户推出。

虽然这次更新共包含5个安全修复方案，但最重要的是存在于 Blink 渲染引擎中的一个释放后使用漏洞 (CVE-2021-21193)。该漏洞由一名匿名研究员在3月9日向谷歌报告，所披露细节很少。

有媒体报道称，该漏洞可导致远程攻击者攻陷易受攻击系统。该漏洞是因为 Chrome 的 Blink 组件中存在使用后释放错误造成的。远程攻击者利用特殊构造的网页诱骗受害者进行访问，从而触发释放后使用错误并在系统上执行任意代码。成功利用该漏洞可使攻击者攻陷易受攻击系统。

受影响的版本包括 Google Chrome：86.0.4240.99、86.0.4240.193、86.0.4240.198、87.0.4280.66、87.0.4280.88、87.0.4280.141、88.0.4324.96、88.0.4324.146、88.0.4324.150、88.0.4324.182 和89.0.4389.72。

和其它已遭利用的缺陷的情况一样，谷歌发布简短声明证实 CVE-2021-21193 已存在但并未分享更多详情，以使大部分用户更新浏览器并阻止其它恶意人员创建针对该 0day 的更多 exploit。

Chrome 技术项目经理 Prudhvikumar Bommana 在博客文章中指出，“谷歌发现在野存在 CVE-2021-21193 exploit 报告。”

这次更新标志着从2021年起，谷歌已经修复了3个 0day 缺陷。

本月初，谷歌发布了“audio 中的对象生命周期问题” (CVE-2021-21166) 的修复方案，据称已遭利用。2月4日，谷歌解决了位于 V8 JavaScript渲染引擎中的另外一个已遭利用的缓冲区溢出漏洞 (CVE-2021-21148)。

Chrome 用户可通过 Settings > Help > About Google Chrome 更新至最新版本，缓解与该漏洞相关的风险。