Google修补已遭开采的Chrome零时差漏洞

Google在周四（2/4）释出Chrome 88.0.4324.150，以修补已遭到骇客开采的CVE-2021-21148零时差漏洞。

CVE-2021-21148为一存在于开源JavaScript引擎V8中的堆积缓冲区溢位漏洞，是由资安研究人员Mattias Buelens在1月24日所提报，Google仅说坊间已出现针对该漏洞的攻击程式，并未描述漏洞细节或相关攻击行动，但外界揣测它与近日北朝鲜骇客锁定资安社群的攻击行动有关。

包括Google与微软，都曾揭露这起针对资安研究人员发动的网络攻击行动。骇客于Twitter上建立多个账号，也打造了资安部落格，借由高品质的资安内容来与资安研究人员建立关系，然而，由骇客寄来的档案却含有恶意程式，而造访该资安部落格的研究人员也会被植入恶意程式。

根据Google的调查，被恶意程式感染的系统，都是采用最新的Windows操作系统与Chrome浏览器，当时Google应也怀疑骇客可能是开采了Chrome的零时差漏洞，进而鼓励任何知道Chrome安全漏洞的研究人员向Google通报。

而微软则说，确定有研究人员只是透过Chrome造访骇客所掌控的部落格，就感染了恶意程式，骇客也许是利用了Chrome的零时差漏洞或是漏洞修补空窗期来展开攻击。

Chrome 88.0.4324.150支援Windows、macOS及Linux操作系统，将在未来几天自动部署至用户端。