漏洞情報 | WebKit2GTK多個高危漏洞

0x01 漏洞描述

WebKit是KDE、蘋果（Apple）、谷歌（Google）等公司共同開發的一套開源的Web瀏覽器引擎。WebKitGTK是WebKit引擎基于GTK環境的實現，包含WebKit的全部功能。

360漏洞云監測到WebKit2GTK存在多個高危漏洞，遠程攻擊者可利用這些漏洞通過特制的網頁內容執行任意代碼或泄露敏感信息。

• CVE-2021-21775
• 漏洞類型：釋放后重用
• 漏洞描述：特殊構造的惡意網頁可引起信息泄露和內存損壞。
• CVE-2021-21779
• 漏洞類型：釋放后重用
• 漏洞描述：特殊構造的惡意網頁可引起信息泄露和內存損壞。
• CVE-2021-30663
• 漏洞類型：整型溢出
• 漏洞描述：處理惡意制作的網頁內容可導致任意代碼執行。
• CVE-2021-30665
• 漏洞類型：緩沖區溢出
• 漏洞描述：處理惡意制作的網頁內容可導致任意代碼執行，該漏洞存在在野利用。
• CVE-2021-30689
• 漏洞類型：跨站腳本
• 漏洞描述：處理惡意制作的網頁內容可導致通用跨站腳本攻擊。
• CVE-2021-30720
• 漏洞類型：訪問限制繞過
• 漏洞描述：惡意網站能訪問任意服務器上的限制端口。
• CVE-2021-30734
• 漏洞類型：緩沖區溢出
• 漏洞描述：處理惡意制作的網頁內容可導致任意代碼執行。
• CVE-2021-30744
• 漏洞類型：跨站腳本
• 漏洞描述：處理惡意制作的網頁內容可導致通用跨站腳本攻擊。
• CVE-2021-30749
• 漏洞類型：緩沖區溢出
• 漏洞描述：處理惡意制作的網頁內容可導致任意代碼執行。
• CVE-2021-30795
• 漏洞類型：釋放后重用
• 漏洞描述：處理惡意制作的網頁內容可導致任意代碼執行。
• CVE-2021-30797
• 漏洞類型：輸入驗證不當
• 漏洞描述：處理惡意制作的網頁內容可導致任意代碼執行。
• CVE-2021-30799
• 漏洞類型：緩沖區溢出
• 漏洞描述：處理惡意制作的網頁內容可導致任意代碼執行。

0x02 危害等級

高危：8.8

0x03 影響版本

WebKit2GTK <2.32.3-1

0x04 修復版本

WebKit2GTK 2.32.3-1

0x05 修復建議

廠商已發布升級修復漏洞，用戶請盡快更新至安全版本。