首页 > 业界 > 关键词 > 谷歌最新资讯 > 正文

Google 发布 Chrome 更新,修补七个安全漏洞

2021-04-22 09:12 · 稿源:开源中国

声明:本文由站长之家内容合作伙伴 开源中国 授权发布。

Google 周三针对 Windows、Mac 和 Linux 端的 Chrome 浏览器发布了更新,更新后版本号来到了90.0.4430.85。该版本中包含七个安全补丁,其中包括一个已被利用的零日漏洞。

Chrome 技术项目经理 Srinivas Sista 在撰写的公告中介绍了五个漏洞:

  • CVE-2021-21222: V8的堆缓冲区溢出,由奇虎360阿尔法实验室于2021-03-30报告;
  • CVE-2021-21223: Mojo 中的整数溢出,由奇虎360阿尔法实验室于2021-04-02报告;
  • CVE-2021-21225: V8中的越界内存访问,于2021-04-05报告;
  • CVE-2021-21226: 在导航中UAF(Use after Free)漏洞,于2021-04-11报告;
  • CVE-2021-21224: V8中的类型混淆,由 VerSprite Inc. 于2021-04-05报告;

其中最后一个标识符为 CVE-2021-21224的漏洞即是零日漏洞。Srinivas Sista 在公告中写道:"Google 已了解到有报告指出 CVE-2021-21224漏洞有被利用的情况“,但并没有分享任何有关该零日漏洞的细节。

不过,根据安全专家在 Twitter 上分享的内容显示,这个远程代码执行漏洞不能被攻击者利用来逃避 Chromium 的沙盒安全功能(一种旨在阻止漏洞在主机上访问文件或执行代码的安全功能)。

该更新将在未来几天陆续推送至用户的设备上,用户也可以手动检查更新及时修复上述问题。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • [图]谷歌预告Chrome新特性:可为页面指定文本创建链接

    本周早些时候,谷歌发布了 Chrome 90 版本更新,引入了一些新的功能和改进。今天,谷歌再次预告了几项即将引入到该浏览器的新功能。首先第一个值得关注的新功能就是为网页中的特定文本创建链接。用户可以选中页面的任意部分,然后在右键菜单中选择“Copy link to highlight”选项,从而创建指定该文本的链接。去年,谷歌就推出了一款名为“Link to Text Fragment”的 Chrome 扩展程序,而现在谷歌将这项功能整合到浏览器中。该功能

  • 谷歌宣布面向平台的Chrome 90大版本更新 安性迎来重大改进

    谷歌正逐步向 Windows 10、macOS、Linux 和移动平台推送 Chrome 90 大版本更新,可知其中引入了许多以用户为中心的功能改进,辅以安全性方面的进一步提升。Windows Latest 指出,Chrome 90 还是首个默认为所有 URL 连接启用安全超文本传输协议(HTTPs)的浏览器版本。在 Chrome 89 和更早的版本中,如果你在浏览器的多功能地址栏(Omnibox)中输入了网址,则浏览器会优先向目标网站请求(ping)不那么安全的超文本传输协议(HTTP)

  • Chrome Canary改进了已关闭标签页的查找体验

    最为目前市面上最受欢迎的 Web 浏览器,Google Chrome 的优点相当多。不过最重要的一个原因,就是它提供了许多竞争对手所没有的轻松体验。近日有消息称,谷歌正在 Chrome Canary 上测试一项全新的功能,以便用户能够更轻松地重新打开被意外关闭的标签页。作为 Chrome 浏览器的第一试验场,并不是所有在 Canary 分支上出现过的功能,最终都会走向稳定版通道。不过早些时候的“标签页搜索”按钮,还是已经出现在了窗口顶部“最小化”

  • Chrome Canary新增“记忆”功能可完整回顾浏览器使用记录

    Chrome浏览器像每个网页浏览器一样,将访问网站的信息存储在历史记录中,并在用户访问chrome://history页面时提供给用户。这也可以通过按Ctrl+H键盘快捷键打开。历史页面上的每个条目都会显示所访问页面的URL、favicon、时间戳和页面标题。当Google Chrome历史页面不足以提供你要找的信息时,谷歌已经准备好了一个“记忆”页面来管理和查阅用户的网络活动,该功能现在可在Canary通道版本的chrome://memories页面中使用,启用后就可

  • 谷歌Chrome浏览器将支持分享带高亮文本的网页链接

    当用户在访问网页时,使用鼠标高亮一段文字,并点击右键选择「copy link to highlight(复制链接以突出显示)」,随即一个以#结尾的URL就会生成,然后可以将其分享给任何人。当他们点开链接时,打开的网页将跳转到特定的突出显示部分,而非页面最开头位置。

  • Chrome 90开始 访问非完整URL默认启用HTTPS连接

    当前,我们在 Chrome 地址栏上输入不完整的 URL 地址(例如 cnbeta.com)之后,默认会通过 HTTP 方式加载该域名。不过在今天推出的 Chrome90版本更新开始,谷歌宣布将默认启用更安全的 HTTPS。新的默认设置将适用于浏览器的桌面版和 Android 版,而 iOS 端 Chrome 浏览器也会随后跟进。

  • Google Chrome浏览器局媒体控制功能更新 增加进度条

     Google更新了位于Chrome工具栏中媒体播放场景下的"全局媒体控件"(Global Media Controls)。新版控件增加了一个进度条,这对于经常用浏览器看网页中视频的用户来说,是非常实用的功能。进度条的加入意味着Chrome浏览器中的画中画(Picture in Picture,PiP)视频将最终拥有一个传输控件。

  • Google在Chrome 90中引入新功能 可创建包含高亮文字锚点的链接

    在Google Chrome 90中即将推出的一项功能将允许用户创建一个链接到他们突出显示的网站的一个部分。去年,Google首先推出了名为 "链接到文本片段 "的浏览器扩展,而现在谷歌已经在Chrome浏览器本身添加了该功能。新功能仍在向用户逐步推出,许多用户更新到Chrome 90后也没能让它发挥作用。但根据Google产品经理凯斯·霍金斯(Kayce Hawkins)的一篇博客文章,该功能的工作原理和操作方法和之前发布的浏览器扩展几乎完全一样:访问一个

  • 微软正开发类Chrome Tab Groups功能 命名为Edge Workspaces

    我们最喜欢的Chrome功能之一是Tab Groups,它允许用户组织浏览内容,并减少你的标签条中的混乱。现在,微软也在Edge当中开发属于自己的Tab Groups版本,只不过名字不太一样,它叫做Workspaces。与标签组类似,用户将能够创建一个工作空间,并向其中添加标签。然后可以通过标签条中的W图标来访问组。与标签组不同的是,似乎每个Workspaces更像是一个虚拟桌面,而不是简单的标签分组方式,这很可能会使该功能因需要较高的系统负荷。?

  • 专家发现基于Chromium的浏览器漏洞 可绕过沙盒远程执行

    针对 Chrome、Edge 以及其他基于 Chromium 的浏览器,一位安全研究人员在 Twitter 上分享了一个概念验证(PoC)漏洞。虽然这个零日漏洞已经被公开披露,但在最新版的 Chrome 和 Edge 中并未被修复。安全研究人员 Rajvardhan Agarwal 在基于 Chromium 浏览器中的 V8 JavaScript 引擎中发现了一个远程代码执行漏洞,并通过个人 Twitter 帐号进行了公布。虽然该漏洞已经在最新版本的 V8 JavaScript 引擎中得到修复,但谷歌何时将其添?

  • 研究人员在Twitter上分享了Chromium零日漏洞的概念验证代码

    印度安全研究人员 Rajvardhan Agarwal,刚刚在 Twitter 上分享了影响基于 Chromium 内核的诸多浏览器的零日漏洞。可知 Google Chrome、Microsoft Edge、Opera 和 Brave 等均受到影响,且 @r4j0x00 附上了 GitHub 的概念验证代码传送门。Rajvardhan Agarwal 在接受 The Record 采访时称,该漏洞源于一个 Chromium 中的 Bug,且有在上周举办的 Pwn2Own 黑客大赛中被使用。当时 Dataflow Security 安全研究人员 Bruno Keith(@bkth_)

  • 苹果发布 iOS 14.4.2 系统更新,修复安全漏洞

    在更新说明页面中,苹果解释了这次的漏洞源自于Webkit,如果遇上特制的恶意网站时,可能会允许跨站代码的执行。由于苹果已经有收到至少一起这个漏洞被利用的实例,因建议立即下载更新来保护安全。

  • 采用联发科CPU+英伟达RTX GPU的新款Chromebook或很快上市

    尽管收购 ARM 的交易尚未获得批准,但英伟达已经迫不及待地展示被其寄予厚望的 ARM 计算生态系统。此前该公司已经在某些产品中运用了 ARM 的技术,不过今日,该公司宣布了最新的 Gravion2 处理器、以及一个更大范围的处理器合作伙伴计划。显然,英伟达希望持续壮大 ARM 生态系统,在自动驾驶汽车、云计算、流媒体游戏等领域发挥巨大的影响力。有趣的是,英伟达也向 Chromebook 市场迈出了重要的一步,比如尝试将 RTX GPU 与联发科?

  • 谷歌Project Zero团队调整漏洞披露指南:增加30天缓冲期

    谷歌 Project Zero 安全团队今天对漏洞披露指南进行了调整,为每次安全漏洞披露增加了 30 天的缓冲期,这样终端用户就有足够的时间来修补软件,防止这些漏洞被攻击者利用。今天的这项调整对于安全领域来说非常重要,因为目前网络安全社区的很多人都已采用 Project Zero 的规则作为向软件供应商、向公众披露安全漏洞的非官方方法。在今天之前,谷歌 Project Zero 的研究人员会给软件厂商 90 天的时间来修复一个安全漏洞。当 bug 被?

  • 宏碁Chromebook Spin 513上网本即将在美上市:起售价479美元

    去年10月,About Chromebooks 网站就已经报道过采用高通骁龙7c 芯片组的宏碁 Chromebook Spin513机型。作为一款支持 LTE 移动网络连接的 Chromebook 上网本,它已于今年1季度发布,但官方似乎并不急于将它推向市场。不过近日,已经有眼尖的网友发现了在美区列出的两款宏碁 Chromebook Spin513机型。目前网页上的“立即购买”链接尚未生效,但可知搭载骁龙7c 芯片组的 Acer Chromebook Spin513的售价为479/499美元(约3124/3254RMB?

  • [图]上亿台设备受影响 高危漏洞NAME:WRECK曝光

    通过和 JSOF Research 合作,网络安全公司 Forescout Research Labs 在披露了威胁全球上亿台设备的高危漏洞--NAME:WRECK。这是影响 4 个主流 TCP/IP 堆栈(FreeBSD,Nucleus NET,IPnet 和 NetX)的 9 个漏洞组合,对域名系统(DNS)实现有关,会导致拒绝服务(DoS)或远程代码执行(RCE),允许攻击者控制或者宕机目标设备。这些漏洞影响的TCP/IP堆栈包括但不限于:FreeBSD(影响版本:12.1)-BSD系列中最流行的操作系统之一。IPnet(

  • ROC已上线Mercurity.Finance 开启流动性挖矿

    近日,全球支付网络Roxe与Mercurity.Finance达成战略合作并宣布,Roxe的生态代币ROC于 4 月 7 日上线Mercurity.Finance创建“ROC-USDC-MEE”流动池( 60 倍池, 60 倍MEE奖励),ROC持有者可参与Mercurity.Finance正在进行的流动性挖矿。此前,ROC已上线霍比特HBTC、BKEX Global两大中心化交易所和去中心化交易所Uniswap。Roxe是一个基于区块链技术的全球支付网络,为银行、中央银行、支付公司、汇款提供商和消费者等提供点对点的最?

  • 谷歌宣布成立 Android Ready SE 安标准联盟,安卓原生支持车钥匙

    如今智能手机已经摒弃了单一用途的产品,比如数码相机和MP3播放器。谷歌今天通过官方博客宣布,正式成立 Android Ready SE Alliance 技术联盟,以确保新手机具备最终取代汽车/家庭钥匙和钱包的基础硬件。

  • 怪物猎人崛起各地图营地位置图 MHR营地位置大

    怪物猎人崛起中也是有营地的概念的,跟世界一样,这次地图还是比较大的,营地有的位置比较难找,下面就来为大家分享一下怪物猎人崛起各地图营地位置图。

  • Facebook的Pages漏洞球政客们可以伪造民众支持率以攻击对手

    世界各地的政府和政客正在利用Facebook如何对不真实活动进行监管的漏洞,伪造民众支持率以骚扰对手。来自《卫报》的调查基于内部文件和前Facebook数据科学家Sophie Zhang的证词,显示了该公司如何选择性地选择对这种活动采取行动。Facebook迅速采取行动,处理美国、韩国等富裕国家和地区为左右政治而开展的协调活动,而对阿富汗、伊拉克、墨西哥和拉丁美洲大部分地区等较贫穷国家的类似活动的报道却不重视或干脆置之不理。"Faceboo

  • 热门标签

热文

  • 3 天
  • 7天