日前,谷歌已经为Chrome网络浏览器修复了一个零日漏洞,据称该漏洞已被广泛利用。此安全漏洞由Mattias Buelens于1月24日报告提交给Google。谷歌发布了适用于Windows、Mac和Linux的88.0.4324.150,并修复了其V8 JavaScript引擎中的堆缓冲区溢出漏洞(CVE-2021-21148)。早在2月2日,Google解决了Chrome中的六个安全问题。微软在1月28日发布的一份报告中指出,一些研究人员只是通过访问运行Windows 10和Chrome浏览器的完全补丁程序系统上的虚假研究博客而受到感染,微软暗示攻击者可能利用Chrome零日漏洞来破坏系统。尽管目前尚不清楚是否在这些攻击中使用了CVE-2021-21148,但披露的时机以及Google的建议是在Buelens报告该问题后的第二天发布的,表明它们可能是存在某种关联。韩国网络安全公司ENKI在另一篇技术文章中表示,由朝鲜政府资助的黑客组织Lazarus未能成功地将其恶意MHTML文件作为目标安全研究人员的目标,这些文件在打开后会从远程服务器下载两个有效载荷,其中之一包含针对Internet Explorer的零日攻击。
值得注意的是,去年Google修复了五个Chrome零日漏洞,在10月20日至11月12日的一段时间内,在野外被积极利用。
网络安全等级保护:正确理解等保与关保的关系
SolarWinds软件再曝安全漏洞,发现3个新的严重安全漏洞
新型Linux恶意软件针对高性能计算集群
Realtek Wi-Fi模块中的漏洞致众多网络设备面临远程攻击风险
