安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day/Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

一、攻击者利用谷歌Chrome浏览器的0day漏洞发起攻击 （6月8日）

研究人员检测到了一波针对多家公司的高度针对性攻击。分析表明，所有这些攻击都利用了一系列 Google Chrome 和 Microsoft Windows 的0day漏洞。

详细信息：

研究人员无法在 Chrome 网络浏览器中回溯到黑客用于远程代码执行 (RCE) 的漏洞，但找到并分析了用于逃离沙箱并获取系统权限的特权提升 (EoP) 漏洞。该特权提升漏洞经过了调整以针对Windows 10 最新和最主要的版本（17763 – RS5、18362 – 19H1、18363 – 19H2、19041 – 20H1、19042 –20H2），并且它利用了两个不同的存在于Microsoft Windows 操作系统内核的漏洞。研究人员已将这两个漏洞报告给微软，微软将漏洞CVE-2021-31955划分为信息泄露漏洞，将漏洞 CVE-2021-31956 划分为提权漏洞。目前，这两个漏洞已均于 2021 年 6 月 8 日修复。

参考链接：

https://securelist.com/puzzlemaker-chrome-zero-day-exploit-chain/102771/?web_view=true

二、Adobe Acrobat 和 Reader 更新了至少五个对内存造成损害的漏洞补丁（6月8日）

Adobe 的产品安全响应机制在本周高速运转，发布了多个补丁来解决旗下多个软件产品中存在的安全漏洞。其中针对Adobe Acrobat 和 Reader的更新，修补了至少五个关键的内存攻击漏洞，这些漏洞使用户面临远程代码执行攻击的风险。

详细信息：

Adobe本月更新的一批补丁解决了 Adobe Acrobat、 Reader、Adobe Photoshop 以及一直存在的 Adobe Creative Cloud桌面应用程序中的一系列潜在危险漏洞。其中最严重的漏洞可能允许攻击者以最少的用户操作完全控制 Windows 或 macOS 计算机。Adobe警告说，在某些情况下，可以远程触发恶意攻击来劫持未打补丁的设备。

参考链接：

https://www.securityweek.com/adobe-patches-major-security-flaws-pdf-reader-photoshop?&web_view=true