0x01 漏洞详情
2021年09月14日,Google发布了Chrome的9月份安全更新,事件等级:高危,事件评分:8.4。
Chrome是热门的网络浏览器,同时底层的V8引擎也是最重要的浏览器内核之一。
对此,360CERT建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 漏洞状态
| 类别 | 状态 |
|---|---|
| 安全补丁 | 已存在 |
| 漏洞细节 | 暂无 |
| poc | 暂无 |
| 在野利用 | 未发现 |
| 相关安全事件 | 未发现 |
0x03 风险等级
360CERT对该事件的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 高危 |
| 影响面 | 广泛 |
| 攻击者价值 | 高 |
| 利用难度 | 高 |
| 360CERT评分 | 8.4 |
0x04 影响版本
| 组件 | 影响版本 | 安全版本 |
|---|---|---|
| Google Chrome | <93.0.4577.82 | 93.0.4577.82 |
0x05 漏洞详情
CVE-2021-30625: Selection API UAF漏洞
CVE: CVE-2021-30625
组件: Selection API
漏洞类型: UAF
影响: 在浏览器上下文中执行任意代码
CVE-2021-30626: ANGLE 内存越界漏洞
CVE: CVE-2021-30626
组件: ANGLE
漏洞类型: 内存越界
影响: 在浏览器上下文中执行任意代码
CVE-2021-30627: Blink layout 类型混淆漏洞
CVE: CVE-2021-30627
组件: Blink layout
漏洞类型: 类型混淆
影响: 尚不明确
CVE-2021-30628: ANGLE 栈溢出漏洞
CVE: CVE-2021-30628
组件: ANGLE
漏洞类型: 栈溢出
影响: 在浏览器上下文中执行任意代码
CVE-2021-30629: Permissions UAF漏洞
CVE: CVE-2021-30629
组件: Permissions
漏洞类型: UAF
影响: 在浏览器上下文中执行任意代码
CVE-2021-30630: Blink 实现不当漏洞
CVE: CVE-2021-30630
组件: Blink
漏洞类型: 代码问题
影响: 尚不明确
CVE-2021-30631: Blink layout类型混淆漏洞
CVE: CVE-2021-30631
组件: Blink layout
漏洞类型: 类型混淆
影响: 尚不明确
CVE-2021-30632: V8 越界写漏洞
CVE: CVE-2021-30632
组件: V8
漏洞类型: 越界写
影响: 在浏览器上下文执行任意代码
CVE-2021-30633: Indexed DB API UAF漏洞
CVE: CVE-2021-30633
组件: Indexed DB API
漏洞类型: UAF
影响: 在浏览器上下文执行任意代码
0x06 修复建议
通用修补建议
根据影响版本中的信息,排查并升级到安全版本
0x07 产品侧解决方案
若想了解更多产品信息或有相关业务需求,可移步至http://360.net。
360企业安全浏览器
360企业安全浏览器相比传统浏览器,360企业安全浏览器兼集中管控、企业数据防护、安全大脑赋能、跨平台适配、商用密码算法支持、应用兼容等六大特点。请用户前往360企业安全浏览器获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。
360安全卫士
Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360安全卫士团队版
用户可以通过安装360安全卫士并进行全盘杀毒来维护计算机安全。360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x08 时间线
2021-09-13 Google发布通告
2021-09-14 360CERT发布通告
0x09 参考链接
评论