Google修补已被开采的Chrome漏洞

Google在周三（6/9）释出Chrome 91.0.4472.101，以修补14个安全漏洞，其中的CVE-2021-30551已遭骇客开采。

目前Google每6周就发布一个新的Chrome版本，这个版本同时包含功能、臭虫与漏洞更新，然而，在这6周当中Google都会不定期地修补安全漏洞，特别是已被开采的漏洞。例如Google甫于今年5月25日释出Chrome 91，但两周后就释出Chrome 91的安全更新。

根据市场研究机构StatCounter的调查，Chrome现为全球最受欢迎的浏览器，市占率为64.73%，大幅超越Safari的18.43%、Microsoft Edge的3.37%，以及Firefox的3.36%，无怪乎Chrome成为骇客入侵用户装置的热门跳板。资安业者卡巴斯基（Kaspersky）在本周揭露的PuzzleMaker骇客行动中，骇客便串连了藏匿在Windows与Chrome的零时差漏洞，并透过Chrome浏览器展开攻击。

此外，BleepingComputer则统计，包括本周修补的CVE-2021-30551在内，今年以来Google已经修补了Chrome的6个零时差漏洞，意谓著这些漏洞都是已经出现攻击程式之后才被修补。

Google仅简短说明CVE-2021-30551是位于V8引擎中的类型混淆（Type Confusion）漏洞，并未揭露漏洞细节。不过，Google的威胁分析小组总监Shane Huntley认为，CVE-2021-30551与微软昨天修补的零时差漏洞CVE-2021-33742应是由同一个商业组织所开采，以供东欧或中东国家进行目标式攻击。

CVE-2021-30551是由Google Zero专案成员Sergei Glazunov所发现，而且Glazunov在6月4日才提报该漏洞，Google于9日就修补了。