Chrome 93.0.4577.82 коригира няколко 0-дневни уязвимости

Google актуализира стабилния канал на браузъра Chrome до версия 93.0.4577.82 за Windows, Mac и Linux. Актуализацията ще се появи през следващите дни/седмици. Има 11 корекции на сигурността, включително две, за които вече са налични експлойти.

Компанията все още не е разкрила подробности. Известно е само, че първата уязвимост (CVE-2021-30632) е причинена от запис извън буфера в двигателя V8 JavaScript. Вторият проблем (CVE-2021-30633) присъства в имплементацията на API на индексирана DB и е свързан с извикването към областта на паметта след освобождаване (използване след освобождаване).

Официалното съобщение изброява следните пачове, които са изпратени от изследователи на трети страни.

• CVE-2021-30625: Използвайте след безплатно в Selection API. Докладвано от Марчин Товалски от Cisco Talos на 2021-08-06
• CVE-2021-30626: Достъп до памет извън границите в ANGLE. Докладвано от Jeonghoon Shin от Theori на 2021-08-18
• CVE-2021-30627: Въведете объркване в Blink оформление. Докладвано от Аки Хелин от OUSPG на 2021-09-01
• CVE-2021-30628: Препълване на буфера на стека в ANGLE. Докладван от Jaehun Jeong(@n3sk) от Theori на 2021-08-18
• CVE-2021-30629: Използвайте след безплатно в Разрешения. Докладвано от Weipeng Jiang (@Krace) от Codesafe Team of Legendsec в Qi'anxin Group на 26.08.2021 г.
• CVE-2021-30630: Неподходящо внедряване в Blink. Докладвано от SorryMybad (@S0rryMybad) от Kunlun Lab на 2021-08-30
•  CVE-2021-30631: Въведете объркване в Blink оформление. Докладван от Atte Kettunen от OUSPG на 2021-09-06
• CVE-2021-30632: Извън границите пишете във V8. Докладван от Anonymous на 2021-09-08
• CVE-2021-30633: Използвайте след безплатно в индексиран DB API. Докладван от Anonymous на 2021-09-08

Всички горепосочени уязвимости са с ВИСОКА тежест. Не бяха открити критични проблеми, които биха могли да се използват за заобикаляне на всички нива на сигурност на браузъра и изпълнение на код на целевата система извън средата на пясъчната среда.