微软和Google都发布了新的稳定通道版本,修补了一个基于Chromium的Use-After-Free(UAF)的关键漏洞,该漏洞可能允许攻击者在成功利用后执行任意代码。Edge的版本是94.0.99
微柔和Google都发布了新的安稳通道版别,修补了一个依据Chromium的Use-After-Free(UAF)的要害缝隙,该缝隙或许答应攻击者在成功运用后履行恣意代码。Edge的版别是94.0.992.31,而Google浏览器的版别是94.0.4606.61。新的构建版别是依据Chromium版别94.0.4606.54。
该缝隙的ID为"CVE-2021-37973",该缝隙是由Google安全工程师Clément Lecigne在Sergei Glazunov和Mark Brand等人的帮忙下发现的。
Google表明在其Portals门户功用中发现了UAF缝隙,依据CERT的说法,"长途攻击者能够运用这个缝隙履行恣意代码或导致体系呈现拒绝服务状况"。当程序或应用在开释动态内存部分后未能正确办理内存指针,这反过来会导致攻击者履行代码。
指针存储了与应用程序正在运用的内存的某个地址有关的数据。但动态内存会不断被刷新和重新分配,供不同的应用程序运用。但是,假如该指针在其对应的内存空间被开释或未分配时没有被设置为空,攻击者就能够成功地运用该指针数据取得对同一内存部分的拜访,然后传递恣意的恶意代码。这便是为什么该缝隙被命名为Use-After-Free。
但是,Edge94.0.992.31以及Chrome94.0.4606.61都现已修补了这个依据内存的要害安全缝隙,主张用户将其浏览器更新到这些版别。
