IT之家 9 月 26 日訊息 微軟 Edge 和谷歌 Google 瀏覽器都已經發布了最新的穩定版本,修補了一個關鍵的基於 Chromium 的 Use-After-Free(UAF)漏洞,該漏洞允許攻擊者執行任意程式碼。
該漏洞已被分配 ID“CVE-2021-37973”,由谷歌安全工程師 Clément Lecigne 在 Sergei Glazunov 和 Mark Brand 等人的協助下發現。谷歌表示,它在其門戶功能中發現了 UAF 漏洞,遠端攻擊者可以利用該漏洞在系統上執行任意程式碼或造成拒絕服務情況。
UAF 是一種安全缺陷,當程式或程序在釋放動態記憶體部分後未能正確管理記憶體指標時,該指標在其相應的記憶體空間被釋放或未分配後未設定為 Null,攻擊者可以利用該指標訪問同一記憶體部分,從而傳遞任意惡意程式碼,所以也叫 Use-After-Free 漏洞。
IT之家瞭解到,修復該漏洞的 Edge 版本是 94.0.992.31,Chrome 版本是 94.0.4606.61,基於 Chromium 94.0.4606.54,大家可以儘快更新一下。
