X
广告
首页 > 业界 > 关键词  > Chrome最新资讯  > 正文

最新的Chrome和Edge稳定版双双修复了关键的内存UAF安全漏洞

2021-09-25 17:43 · 稿源: cnbeta

微软和Google都发布了新的稳定通道版本,修补了一个基于Chromium的Use-After-Free(UAF)的关键漏洞,该漏洞可能允许攻击者在成功利用后执行任意代码。Edge的版本是94.0.992.31,而Google浏览器的版本是94.0.4606.61。新的构建版本是基于Chromium版本94.0.4606.54。

Edge浏览器

该漏洞的ID为"CVE-2021-37973",该漏洞是由Google安全工程师Clément Lecigne在Sergei Glazunov和Mark Brand等人的协助下发现的。

Google表示在其Portals门户功能中发现了UAF漏洞,根据CERT的说法,"远程攻击者可以利用这个漏洞执行任意代码或导致系统出现拒绝服务情况"。当程序或应用在释放动态内存部分后未能正确管理内存指针,这反过来会导致攻击者执行代码。

指针存储了与应用程序正在使用的内存的某个地址有关的数据。但动态内存会不断被刷新和重新分配,供不同的应用程序使用。然而,如果该指针在其对应的内存空间被释放或未分配时没有被设置为空,攻击者就可以成功地利用该指针数据获得对同一内存部分的访问,从而传递任意的恶意代码。这就是为什么该漏洞被命名为Use-After-Free。

然而,Edge94.0.992.31以及Chrome94.0.4606.61都已经修补了这个基于内存的关键安全漏洞,建议用户将其浏览器更新到这些版本。

  • 相关推荐
  • 大家在看
  • 谷歌 Chrome 95 浏览器正式移除 FTP 文件传输支持

    Chrome95还正式移除了FTP文件传输协议的支持。FTP文件传输协议是一个用于在计算机网络上在客户端和服务器之间进行文件传输的应用层协议。问世40年的FTP因为传输文件时不支持加密,从安全性考量,各浏览器厂商包括Google很早就已经宣布将渐进不再支持。

  • 微软正式推出适用于Chrome浏览器的Outlook扩展程序

    几个月前,微软向 Edge 浏览器用户推送了 Outlook 扩展程序。现在,这家雷德蒙德软件巨头终于为 Google Chrome 带来了同款附加组件。安装之后,Chrome 用户将可轻松执行收发 Outlook 电子邮件、管理日历等操作,而无需打开新的浏览器标签页。且此前你需要切换标签页或应用程序,才能够查看联系人的电话号码。截图(来自:Leopeva64-2 / Reddit)感兴趣的朋友,可通过 Chrome 网上应用店免费下载 Microsoft Outlook 插件:https://c

  • Chrome 96已经进入Beta频道:User-Agent字符串开始测试Chrome 100影响

    在 Chrome 95 稳定版正式发布之后,Google 将开发的重心转移到下个版本中。今天,Chrome 96 已经进入到 Beta 频道版本中。明年 Chrome 将迎来第 100 个版本,为确保平稳过渡,Chrome 96 Beta 版增加了一个新的实验 Flag,强制将主要版本已经宣传为第 100 个版本。这个新的面向开发者的选项将把 Chrome 浏览器的 HTTP 用户代理字符串设置为 Chrome 100,以帮助开发者根据这个三位数的版本号测试他们的网站/网络应用。由于一些特别老

  • Google Chrome正在继续推动云照片模块整合过程

    Google正在疯狂地将其网络浏览器变成其其他产品和服务的门户,虽然这一活动是否会激怒竞争对手和监管机构,还有待观察,但似乎没有人可以阻止Google的行动。这些新的和即将推出的功能大多围绕着搜索结果和新标签页,现在还将获得一个新的模块,只要打开一个新的浏览器标签,就会出现你的Google照片内容。Chrome浏览器无疑已经有了长足的进步,不仅在功能方面,而且在用户界面方面。标签式用户界面不再局限于每个窗口的单一页面,它

  • Chrome新标签页即将显示Google Drive文件

    Google 今天发布预告,当你在 Chrome 浏览器中打开新标签页的时候,即将会显示 Google Drive 文件。该公司表示,浮现的内容将基于“智能建议”,而不是根据最近的情况来显示文件。Google 称,这将节省用户寻找所需文件的时间和精力,因为他们将能够直接从新的 Chrome 标签上提供的新用户界面抓取文件,如下图所示。Google表示,如果你没有定制新标签页界面,这种体验将被默认启用。如果 IT 管理员在组织层面为“新标签页”设置了自

  • Google Chrome正在清理使用率低下的标签页堆叠功能

    随着标签页分组(Tab Groups)和滚动标签页(Scrollable Tabs)的到来,Chrome 浏览器中的标签页堆栈(Stacked Tabs)也将很快被 Google 给禁用。Techdows 指出,这一变化将在 Chrome 96 Canary 开发分支率先得到体现。起初该功能出现在 2013 年的一个标记(flags)后面,但标记消失多年后的相关代码却多年未被清理。时至今日,Stacked Tabs 功能在 Chrome 浏览器中仍然有效。启用方法如下:(1)右键点击 Chrome 快捷方式,选择‘

  • Google正在为Android版Chrome开发每个网站的自动变暗功能

    Android版Google浏览器可以让你自动调暗网站,但该设置对你浏览的所有网站都是全局性质的。这可能并不理想,Google正在研究一种方法,使这一设置改为按网站域名来设置。在Android版Chrome Canary浏览器中,网站设置中有一个新的部分可以启用或禁用"自动变暗网页内容"。该设置与一个新的菜单相关联,可以为网站启用或禁用自动变暗功能。用户可以添加特定的网站,然后选择是否阻止或允许这些网站的自动变暗。要启用该功能?

  • 窗口内分屏:Chrome Canary正在测试Google搜索侧边栏功能

    虽然有不少用户热衷于给浏览器添加“标签页导航”等实用的侧面板 UI 扩展程序,但浏览器制造商却长期忽视了这一点。好消息是,这种情况已经悄然发生了变化。由 9to5Google 分享的一段演示视频可知,用户将能够在 Chrome 浏览器的左侧边栏获取更多信息,比如阅读列表、以及无需离开当前页面来开展 Google Lens 搜索。视频截图(来自:9to5Google)对于需要边搜索边浏览的用户来说,这种类似于“窗口内分屏”的功能,还是显得相当实?

  • Android端Chrome稳定版现可使用RSS追踪功能了

    尽管 Google Reader 已经被弃用,但是它的精神仍得以延续,Android 端 Chrome 浏览器现在可以使用 RSS 追踪功能了。该功能于今年 5 月开始测试,仅限于 Chrome Canary 频道版本,不过今天 Google 在稳定版本中也开放了该功能。你可以通过浏览器的“...”菜单关注一个网站,订阅其 RSS 源,并在你的 Chrome 应用中更新。你所关注的网站将出现在一个名为“关注”的标签中,该标签与Google推荐文章的“For You”标签放在一起。这项功?

  • 省去填写网页表格时间:Microsoft Autofill功能已拓展至Chrome

    消费者对于密码的管理不再满足于单纯的创建和存储密码,而微软最新推出的 Autofill(自动填充)服务皆在为桌面和移动端用户提供更贴心的服务。该服务是 Authenticator 应用和服务的延伸,当你需要在文本框(不限于密码框)中输入数据的时候能帮你自动填充。密码管理器是许多安全专家强烈建议人们使用的东西,因为人类在创建和记住强大的密码方面确实非常糟糕。然而在日常使用过程中,除了密码之外我们可能还需要填写身份证号码、信

这篇文章对你有价值吗?

  • 热门标签