- CNNVD編號:未知
- 危害等級: 高危
- CVE編號:未知
- 漏洞類型: 遠程代碼執(zhí)行
- 威脅類型:本地
- 廠 商:未知
- 漏洞來源:深信服
- 發(fā)布時間:2021-02-19
- 更新時間:2021-02-19
漏洞簡介
1、組件介紹
V8是Google使用C++編寫的開源高性能JavaScript和WebAssembly引擎。它被廣泛用于用于Chrome和Node.js等場景中。它實現(xiàn)了ECMAScript和WebAssembly功能。V8既可以在Windows 7及以上版本,macOS 10.12+和使用x64,IA-32,ARM或MIPS處理器的Linux等操作系統(tǒng)上運行。也可以獨立運行,還可以嵌入到任何C ++應(yīng)用程序中。
2、漏洞描述
2021年2月8日,深信服安全團隊監(jiān)測到Chrome官方發(fā)布了一則漏洞安全通告,通告披露了V8引擎存在堆溢出漏洞,漏洞編號:CVE-2021-21148。該漏洞使V8在處理js語句時由于不正確的安全檢查。攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意網(wǎng)站誘使受害者訪問,從而觸發(fā)堆溢出漏洞,最終可以拒絕服務(wù)甚至遠程代碼執(zhí)行。
漏洞公示
參考網(wǎng)站
受影響實體
目前受影響的Chrome和Microsoft Edge版本:
Chrome < 88.0.4324.150
Microsoft Edge < 88.0.705.63
補丁
1、如何檢測組件系統(tǒng)版本
1 Chrome 瀏覽器中打開
chrome://settings/help
2 Microsoft Edge 瀏覽器中打開
edge://settings/help
2、官方修復(fù)建議
1)升級Chrome 瀏覽器至 88.0.4324.150 版本:
Chrome 瀏覽器中打開 chrome://settings/help ,檢查更新,升級,重新啟動瀏覽器即可。
2)更新 Microsoft Edge 瀏覽器至88.0.705.63版本:
Microsoft Edge 瀏覽器中打開edge://settings/help ,檢查更新,升級,重新啟動瀏覽器即可。
或直接下載最新版本: