当前位置:首页 > 安全预警 > 正文

WebKit2GTK多个高危漏洞预警

发布时间:2021-07-30 14:02:10,来源:北京奇虎科技有限公司

      一、 基本情况

近日,WebKit官方发布安全漏洞通告,披露了WebKit2GTK存在的12个高危漏洞。攻击者可利用这些漏洞通过特制的网页内容执行任意代码或泄露敏感信息。建议受影响用户尽快更新至安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

WebKit是KDE、苹果(Apple)、谷歌(Google)等公司共同开发的一套开源的Web浏览器引擎。WebKitGTK是WebKit引擎基于GTK环境的实现,包含WebKit的全部功能。

1. CVE-2021-21775释放后重用漏洞

漏洞描述:特殊构造的恶意网页可引起信息泄露和内存破坏。

2. CVE-2021-21779释放后重用漏洞

漏洞描述:特殊构造的恶意网页可引起信息泄露和内存破坏。

3. CVE-2021-30663整数溢出漏洞

漏洞描述:处理恶意制作的网页内容可导致任意代码执行。

4. CVE-2021-30665缓冲区溢出漏洞

漏洞描述:处理恶意制作的网页内容可导致任意代码执行,该漏洞存在在野利用。

5. CVE-2021-30689跨站脚本漏洞

漏洞描述:处理恶意制作的网页内容可导致通用跨站脚本攻击。

6. CVE-2021-30720访问限制绕过漏洞

漏洞描述:恶意网站能访问任意服务器上的限制端口。

7. CVE-2021-30734缓冲区溢出漏洞

漏洞描述:处理恶意制作的网页内容可导致任意代码执行。

8. CVE-2021-30744跨站脚本漏洞

漏洞描述:处理恶意制作的网页内容可导致通用跨站脚本攻击。

9. CVE-2021-30749缓冲区溢出漏洞

漏洞描述:处理恶意制作的网页内容可导致任意代码执行。

10. CVE-2021-30795释放后重用漏洞

漏洞描述:处理恶意制作的网页内容可导致任意代码执行。

11. CVE-2021-30797输入验证不当漏洞

漏洞描述:处理恶意制作的网页内容可导致任意代码执行。

12. CVE-2021-30799缓冲区溢出漏洞

漏洞描述:处理恶意制作的网页内容可导致任意代码执行。

      四、 影响范围

WebKitGTK <2.32.3

WPE WebKit <2.32.3

      五、 安全建议

目前厂商已修复该漏洞,建议受影响用户尽快更新至安全版本。

https://wpewebkit.org/security/

      六、 参考链接

http://www.openwall.com/lists/oss-security/2021/07/23/1

https://webkitgtk.org/security/WSA-2021-0004.html

https://wpewebkit.org/security/WSA-2021-0004.html