1月28日微软披露了一个高危漏洞（CVE-2021-21148），这是一个存在于V8中的堆缓冲区溢出错误，V8是Google开源的、基于C++的高性能WebAssembly和JavaScript引擎。

远程攻击者可以诱使受害者打开其精心构造的网页，触发基于堆的缓冲区溢出，并在目标系统上执行任意代码。成功利用此漏洞可能导致易受攻击的系统完全受损。

该漏洞正在野外被积极利用。谷歌认为一个由朝鲜政府支持的黑客组织ZINC 很可能使用该漏洞来瞄准漏洞研究人员。

近日Google在其发布的Chrome 88.0.4324.150版本，针对Windows、Mac和Linux用户修复了这个漏洞。

接下来，Chrome将自动检查新更新并在可用时进行安装，并在接下来的几天/几周内推广到整个用户群。Windows，Mac和Linux桌面用户可以通过转到设置 -> 帮助 -> 关于Google Chrome升级到Chrome 88。

谷歌在一份声明中表示，“在大多数用户使用补丁更新之前，对bug细节和链接的访问可能会受到限制。如果bug存在于其他项目所依赖的第三方库中，但尚未修复，我们也将保留限制。”

此外，Chrome 88的最新版本还发布了一系列其他更新，正式挥别FTP与Adobe Flash两个老面孔。基于使用率低、且缺乏加密存在资安风险的考量，Chrome 88停止支持FTP，不再支持 ftp：// 开头的网址，并且新增了PDF功能，使其可以显示PDF元数据。此外，还增添检查密码机制，让习惯Chrome记忆密码的使用者更添保障。

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com