这四个安全漏洞于今年早期被发现,影响了 Google Chrome、Internet Explorer 和 WebKit 浏览器引擎。以下是专家披露的0day漏洞列表:
- Chrome中的CVE-2021-21166和CVE-2021-30551;
- Internet Explorer中的CVE-2021-33742;
- WebKit(Safari)中的CVE-2021-1879。
谷歌同时还公布了对这四个0day漏洞的成因分析:
- CVE-2021-1879: 在QuickTimePluginReplacement中存在Use-after-free漏洞(UAF漏洞,一种内存破坏漏洞)
- CVE-2021-21166: Chrome中的“object lifecycle issue”漏洞
- CVE-2021-30551: V8中的Chrome类型混淆漏洞
- CVE-2021-33742: Internet Explorer中MSHTML的越界写入漏洞
有趣的是,四个漏洞中的三个是由同一家政府支持的商业监控供应商开发。第四个漏洞(CVE-2021-1879)则可能是由一个与俄罗斯有关的APT组织开发。
此外,谷歌安全人员还表示,今年已经有33个零日漏洞被用于公开披露的攻击,比2020年期间的总数多11个。
WebKit 0day漏洞被俄罗斯黑客利用
虽然 Chrome 和 Internet Explorer的 0day 是由同一个供应商开发并出售给世界各地想要提高其监控能力的客户,但它们没有被用于任何高调的攻击活动。
CVE-2021-1879 WebKit/Safari 漏洞则不然。据谷歌称,该漏洞通过 LinkedIn Messaging 被用来针对西欧国家的政府官员,向他们发送恶意链接。
谷歌研究人员表示,这些攻击者可能是俄罗斯政府支持的黑客,他们滥用该漏洞来攻击运行旧版本iOS系统(12.4至13.7)的设备。
虽然谷歌没有将其明确归因于某一个组织,但是调查该活动的微软研究人员却表示该攻击者为Nobelium,也就是去年SolarWinds攻击事件的幕后黑手。