Chrome 93.0.4577.82 løser flere 0-dages sårbarheder

Google har opdateret den stabile kanal i Chrome-browseren til version 93.0.4577.82 til Windows, Mac og Linux. Opdateringen udrulles i løbet af de kommende dage/uger. Der er 11 sikkerhedsrettelser, inklusive to, som der allerede er tilgængelige udnyttelser til.

Virksomheden har endnu ikke oplyst detaljerne. Det er kun kendt, at den første sårbarhed (CVE-2021-30632) er forårsaget af en skrivning uden for buffer i V8 JavaScript-motoren. Det andet problem (CVE-2021-30633) er til stede i den indekserede DB API-implementering og er relateret til opkaldet til hukommelsesområdet efter fri (brug efter fri).

Den officielle meddelelse viser følgende programrettelser, som blev indsendt af tredjepartsforskere.

• CVE-2021-30625: Brug after free i Selection API. Rapporteret af Marcin Towalski fra Cisco Talos den 2021-08-06
• CVE-2021-30626: Out of bounds hukommelsesadgang i ANGLE. Rapporteret af Jeonghoon Shin fra Theori den 2021-08-18
• CVE-2021-30627: Skriv Confusion i Blink layout. Rapporteret af Aki Helin fra OUSPG den 2021-09-01
• CVE-2021-30628: Stack bufferoverløb i ANGLE. Rapporteret af Jaehun Jeong(@n3sk) fra Theori den 2021-08-18
• CVE-2021-30629: Brug efter gratis i Tilladelser. Rapporteret af Weipeng Jiang (@Krace) fra Codesafe Team of Legendsec hos Qi'anxin Group den 2021-08-26
• CVE-2021-30630: Uhensigtsmæssig implementering i Blink. Rapporteret af SorryMybad (@S0rryMybad) fra Kunlun Lab den 30-08-2021
•  CVE-2021-30631: Skriv Confusion i Blink layout. Rapporteret af Atte Kettunen fra OUSPG den 2021-09-06
• CVE-2021-30632: Out of bounds skriv i V8. Rapporteret af Anonym 2021-09-08
• CVE-2021-30633: Brug after free i Indexed DB API. Rapporteret af Anonym 2021-09-08

Alle ovenstående sårbarheder er af HØJ alvorlighed. Der blev ikke fundet nogen kritiske problemer, der kunne bruges til at omgå alle browsersikkerhedsniveauer og udføre kode på målsystemet uden for sandkassemiljøet.