谷歌 Chrome 修复昆仑实验室发现漏洞,再成最早响应天府杯厂商
谷歌 Chrome 浏览器于 10 月 28 日推送了 95.0.4638.69 版紧急更新,目前,这一更新已经向 Windows、Mac、Linux 版 Chrome 浏览器推送。
在新的版本里,Chrome 修复了在前不久结束的"天府杯"国际网络安全大赛上发现的两套 Chrome full chain 漏洞,谷歌 Chrome 也再次成为对"天府杯"最早响应的厂商。
在 10 月 16 日第四届"天府杯"国际网络安全大赛产品破解赛的现场,来自"昆仑实验室"(Kunlun Lab)的安全研究员,在比赛中利用发现的 Chrome V8 JavaScript 引擎中存在的 type confusion (类型混淆) 漏洞,成功攻破 Chrome 浏览器 -- 这也打破了 Chrome 浏览器连续七年来在全球各类挑战赛中从未被攻破的"不败金身"。
在 Chrome 浏览器最新的 95.0.4638.69 版本更新说明中,这一漏洞 CVE 编号为 CVE-2021-38001。同时,另一编号为 CVE-2021-38002 的 UAF 漏洞也在公示的漏洞名单中,同样是在此次"天府杯"比赛中被发现。
值得一提的是,攻破 Chrome 浏览器的昆仑实验室,最终也以斩获 65.45 万美元奖金的好成绩,赢得了本届"天府杯"比赛的全球总冠军。在比赛中,除 Chrome 浏览器外,昆仑实验室还相继攻破了 Adobe PDF Reader、Windows 10、iPhone 13 Pro、VMware ESXi、Safari、VMware workstaion,成为本次"天府杯"的最大赢家。
昆仑实验室是北京赛博昆仑科技有限公司旗下的安全团队。今年以来,昆仑实验室已陆续帮助微软、谷歌等公司修复了包括操作系统内核、系统下一代视频编码器、Edge 浏览器等在内的安全漏洞,并多次获得微软、谷歌的官方致谢。其中在前不久微软公布的 MSRC 2021 Q3 榜单中,昆仑实验室拿下第一、第 19 名两席。仅在 10 月,昆仑实验室就协助微软修复了包括 Windows 内核、微软媒体播放组件、微软 Hyper-V 虚拟化系统、微软多个文件系统的一共七个漏洞,数量之多排在全球首位。
目前,昆仑实验室已经协助谷歌 Chrome 浏览器修复了天府杯比赛上发现的 RCE 漏洞。同时,此次谷歌 Chrome 发布的补丁中,还公布了刚刚修复的两个已被在野利用的 0day 漏洞,建议用户尽快升级。
2022-05-06 13:48:23