Το Chrome 93.0.4577.82 διορθώνει αρκετές ευπάθειες 0 ημερών

Η Google ενημέρωσε το κανάλι Stable του προγράμματος περιήγησης Chrome στην έκδοση 93.0.4577.82 για Windows, Mac και Linux. Η ενημέρωση θα κυκλοφορήσει τις επόμενες ημέρες/εβδομάδες. Υπάρχουν 11 επιδιορθώσεις ασφαλείας, συμπεριλαμβανομένων δύο για τις οποίες είναι ήδη διαθέσιμες εκμεταλλεύσεις.

Η εταιρεία δεν έχει ακόμη αποκαλύψει τις λεπτομέρειες. Είναι γνωστό μόνο ότι η πρώτη ευπάθεια (CVE-2021-30632) προκαλείται από μια εγγραφή εκτός buffer στη μηχανή JavaScript V8. Το δεύτερο πρόβλημα (CVE-2021-30633) υπάρχει στην υλοποίηση του Indexed DB API και σχετίζεται με την κλήση στην περιοχή μνήμης μετά την ελεύθερη (χρήση μετά τη δωρεάν).

Η επίσημη ανακοίνωση αναφέρει τα ακόλουθα patches, τα οποία υποβλήθηκαν από τρίτους ερευνητές.

• CVE-2021-30625: Χρήση μετά τη δωρεάν στο Selection API. Αναφέρθηκε από τον Marcin Towalski της Cisco Talos στις 06-08-2021
• CVE-2021-30626: Πρόσβαση εκτός ορίων μνήμης σε ANGLE. Αναφέρθηκε από τον Jeonghoon Shin of Theori στις 18-08-2021
• CVE-2021-30627: Πληκτρολογήστε Σύγχυση στη διάταξη αναβοσβήνει. Αναφέρθηκε από τον Aki Helin του OUSPG στις 01-09-2021
• CVE-2021-30628: Υπερχείλιση buffer στοίβας σε ANGLE. Αναφέρθηκε από τον Jaehun Jeong(@n3sk) του Theori στις 18-08-2021
• CVE-2021-30629: Χρήση μετά τη δωρεάν στα Δικαιώματα. Αναφέρθηκε από τον Weipeng Jiang (@Krace) από την Codesafe Team of Legendsec στο Qi'anxin Group στις 26-08-2021
• CVE-2021-30630: Ακατάλληλη υλοποίηση στο Blink. Αναφέρθηκε από SorryMybad (@S0rryMybad) του Kunlun Lab στις 30-08-2021
•  CVE-2021-30631: Πληκτρολογήστε Σύγχυση στη διάταξη αναβοσβήνει. Αναφέρθηκε από τον Atte Kettunen του OUSPG στις 06-09-2021
• CVE-2021-30632: Εκτός ορίων γράψτε σε V8. Αναφέρθηκε από Anonymous στις 08-09-2021
• CVE-2021-30633: Χρήση μετά την ελεύθερη χρήση στο Indexed DB API. Αναφέρθηκε από Anonymous στις 08-09-2021

Όλα τα παραπάνω τρωτά σημεία είναι ΥΨΗΛΗΣ σοβαρότητας. Δεν βρέθηκαν κρίσιμα ζητήματα που θα μπορούσαν να χρησιμοποιηθούν για την παράκαμψη όλων των επιπέδων ασφαλείας του προγράμματος περιήγησης και την εκτέλεση κώδικα στο σύστημα προορισμού εκτός του περιβάλλοντος περιβάλλοντος δοκιμών.