谷歌发布Chrome 86.0.4240.198 修复两个零日漏洞

waffle

稿源：cnBeta

ZDNet 报道称，谷歌在过去三周时间内，修复了影响 Chrome 浏览器的五个凌日漏洞。在今日发布的 Chrome 86.0.4240.198 版本中，就包括了最新的两个。据悉，此前的三个零日漏洞，是谷歌内部安全研究人员发现的。而这次紧急修复的两个，则来自于不愿透露姓名的消息人士。

（来自：Google Blog）

截止发稿时，谷歌尚未披露两个零日漏洞攻击的详情。但在 Chrome 86.0.4240.198 的变更日志中，该公司还是提到了两个通用漏洞披露编号。

首先是 CVE-2020-16013，其描述涉及 Chrome 组件中处理 JavaScript 代码的 V8 引擎的不当实现。

其次是 CVE-2020-16017，其描述涉及 Chrome 组件中负责隔离不同站点数据的‘释放后使用’内存泄露 bug 。

两个 CVE 的披露时间分别为周一和周三，不过遗憾的是，目前尚不清楚这两个漏洞是否需要被结合在一起使用，但是可以单独发挥一定的破坏力。

在此之前，Google 还修补了以下三个零日漏洞：

● CVE-2020-15999：Chrome 浏览器的 FreeType 字体渲染库问题，谷歌在 10 月 20 日完成了与 Windows 零日漏洞（CVE-2020-17087）的修补，但拖到了本周。

● CVE-2020-16009：同样涉及 Chrome 的 JavaScript V8 引擎，谷歌在 11 月 2 日完成了修复。

● CVE-2020-16010：这次主要与 Chrome for Android 有关，主要影响浏览器的用户界面（UI）组件。

目前尚不清楚上述漏洞的严重程度，但谷歌还是建议大家尽快更新至 86.0.4240.198 。不过鉴于大多数零日漏洞攻击仅会瞄向少数极具针对性的目标，普通用户其实没必要太过恐慌。