資料來源：TANet CERT台灣學術網路危機處理中心

https://www.twcert.org.tw/tw/cp-104-4476-b51ab-1.html

Google 於日前推出 Chrome 瀏覽器更新，修復多個資安漏洞，其中包括一個嚴重漏洞，可能導致駭侵者遠端執行任意程式碼，用戶應立即更新至最新版本。

Google 於日前推出 Chrome 瀏覽器更新版本 89.0.4389.72，修復多個資安漏洞，其中包括一個嚴重漏洞，可能導致駭侵者遠端執行任意程式碼，用戶應立即更新至最新版本。

這個編號為 CVE-2021-21166 的資安漏洞，存於 Chrome 處理音訊的子系統中；該段程式碼在處理音訊物件的生命周期時存有錯誤，駭侵者若將用戶導向到特製的網頁，即可觸發此錯誤，造成堆疊暫存區的溢位錯誤，藉以遠端執行任意程式碼。

這個漏洞的 CVSS v3 危險程度評分高達 8.8 分，危險程度分級達到嚴重（critical）等級。存有這個漏洞的 Google Chrome 為各主要作業系統（Windows, Mac, Linux）89.0.4389.71 之前的各個 Chrome 89 版本。

據 Google 發表的資安通報指出，該公司已掌握此一漏洞遭外界大規模濫用的情資；Google 已於資安通報發表的同時，推出新版 Chrome 89.0.4389.72 版本，修復此一嚴重漏洞；用戶應立即更新到最新版本，以避免遭駭侵者利用此漏洞發動攻擊。

除此漏洞之外，新推出的 Chrome 89.0.4389.72 版本，同時也修復了另外 46 個嚴重程度較低的資安漏洞，其中危險程度等級較高的漏洞包括：

• CVE-2021-21159：TabStrip 組件中的 Heap 暫存記憶體溢位錯誤；
• CVE-2021-21160：WebAudio 組件中的 Heap 暫存記憶體溢位錯誤；
• CVE-2021-21161：TabStrip 組件中的 Heap 暫存記憶體溢位錯誤；
• CVE-2021-21162：WebRTC 使用已釋放記憶體的錯誤；
• CVE-2021-21163：閱讀模式中資料驗證不足；
• CVE-2021-21164：iOS 版本資料驗證不足。

CVE編號：CVE-2021-21166

影響產品/版本：Google Chrome 89.0.4389.71 之前的各個 Chrome 89 Windows、Mac、Linux 版本

解決方案：升級至 Chrome 89.0.4389.72