谷歌Chrome浏览器爆新的0day漏洞，已检测到广泛在野利用

近日，谷歌针对其Chrome浏览器中的5个安全漏洞进行了修复，其中1个漏洞正在被广泛利用，该漏洞号为CVE-2021-4102，与V8 JavaScript引擎和 WebAssembly引擎中的内存释放后使用错误有关，这可能导致数据损坏甚至任意代码执行的严重后果。

目前尚不清楚该漏洞如何在现实世界的攻击中被利用，但谷歌发表了一份简短的声明，称已经知道CVE-2021-4102漏洞存在在野利用，谷歌这样做是为了确保大多数用户尽快地更新程序，以防止该漏洞被黑客进一步利用。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，CVE-2021-4102 漏洞是 V8 中的第2个内存释放后使用相关的漏洞，该漏洞是谷歌在收到匿名安全研究人员报告主动利用漏洞后不到三个月内修复的，之前的漏洞CVE-2021-37975也是由匿名安全研究人员提供的报告。

在本次更新后，谷歌Chrome浏览器在2021年共修复了17个零日漏洞，打破了该产品以往的漏洞记录。重要的零日漏洞有如下：

• CVE-2021-21148 – V8 中的堆缓冲区溢出
• CVE-2021-21166 – 音频中的对象回收问题
• CVE-2021-21193 – Blink 中的 Use-after-free
• CVE-2021-21206 – Blink 中的 Use-after-free
• CVE-2021-21220 – 对 x86_64 的 V8 中不可信输入的验证不足
• CVE-2021-21224 – V8 中的类型混淆
• CVE-2021-30551 – V8 中的类型混淆
• CVE-2021-30554 – WebGL 中的 Use-after-free
• CVE-2021-30563 – V8 中的类型混淆
• CVE-2021-30632 – V8 中的越界写入
• CVE-2021-30633 – 索引数据库 API 中的释放后使用
• CVE-2021-37973 – 门户中的 Use-after-free
• CVE-2021-37975 – V8 中的 Use-after-free
• CVE-2021-37976 – 核心信息泄漏
• CVE-2021-38000 – 对 Intent 中不可信输入的验证不足
• CVE-2021-38003 – V8 中的不当实现

建议谷歌Chrome浏览器的用户尽快将软件更新到最新的版本，以降低潜在的漏洞主动利用的风险。