Google 在周二向用戶推送了 Chrome 瀏覽器的補充更新，更新后版本號升至 92.0.4515.159，該版本為 Chrome 瀏覽器修復了 9 個漏洞，其中有 7 個漏洞是由外部安全研究人員所發現的。該更新適用于 Windows、Mac 和 Linux。

Google 將漏洞分成了四個等級，此次修復的漏洞不包含四個等級中最高的「嚴重」漏洞，所有七個都被評為第二級的「高風險」漏洞。這 7 個漏洞的 CVE ID 分別是：

• CVE-2021-30598
• CVE-2021-30599
• CVE-2021-30600
• CVE-2021-30601
• CVE-2021-30602
• CVE-2021-30603
• CVE-2021-30604

其中 CVE-2021-30598 和 CVE-2021-30599，兩者均是 V8 JavaScript 引擎中的類型混淆問題，由研究人員 Manfred Paul 在 7 月發現并報告。

類型混淆漏洞通常可以通過誘使目標用戶訪問一個惡意網站而被利用，它們允許攻擊者在網頁渲染過程中實現任意代碼的執行。成功利用此漏洞可能會導致易受攻擊的系統完全受到攻擊。Google 為這兩個安全漏洞分別向 Paul 支付了 21000 美元，合計 42000 美元。

Google 還修復了 Chrome 瀏覽器 Printing 中的一個 UAF 漏洞(CVE-2021-30600)和 Extensions API 中的另一個漏洞(CVE-2021-30601)，這兩個漏洞均由 360 Alpha Lab 的安全研究人員報告。而 Google 為這兩個漏洞又分別支付了 2 萬美元的漏洞賞金，合計 4 萬美元。

為了最大限度的保護用戶，防止上述這些漏洞被不法分子利用從而引發大規模的風險，Google 會在大多數用戶更新該補丁之前，對漏洞的詳細信息進行保留。在當前情況下，目前沒有任何報告顯示上述漏洞有被利用的跡象。

Google 尚未透露另外幾個漏洞的賞金數額 —— 它們分別是 WebRTC 的 UAF 漏洞(CVE-2021-30602)，ANGLE 的 UAF 漏洞(CVE-2021-30604)。此外還有一個 WebAudio(CVE-2021-30603)中的競爭條件漏洞(Race Condition)。

需要用戶注意的是，上述這些漏洞不只會影響 Chrome 瀏覽器，其他屬于相同架構的 Edge、Brave、Vivaldi 等瀏覽器同樣也是攻擊對象，用戶最好確認瀏覽器已更新到最新版本，避免遭到惡意攻擊導致個人信息及資料泄漏。

用戶可以通過菜單選項 「幫助」->「關于 Chrome 瀏覽器」手動更新 Chrome 來修復上述問題。對瀏覽器安全有研究的開發者可以點擊鏈接查看 Chrome 漏洞懸賞計劃的詳細規則，順便賺點“零花錢”。

本文轉自OSCHINA

本文標題：Google 高額懸賞 4 個 Chrome 漏洞，每個價值 2 萬美元

本文地址：https://www.oschina.net/news/156187/google-awards-chrome-researchers