Chrome 93.0.4577.82 corrige varias vulnerabilidades de día 0

Google ha actualizado el canal estable del navegador Chrome a la versión 93.0.4577.82 para Windows, Mac y Linux. La actualización se implementará en los próximos días / semanas. Hay 11 correcciones de seguridad, incluidas dos para las que ya hay exploits disponibles.

La compañía aún no ha revelado los detalles. Solo se sabe que la primera vulnerabilidad (CVE-2021-30632) es causada por una escritura fuera del búfer en el motor JavaScript V8. El segundo problema (CVE-2021-30633) está presente en la implementación de API de base de datos indexada y está relacionado con la llamada al área de memoria después de libre (usar después de libre).

El anuncio oficial enumera los siguientes parches, que fueron enviados por investigadores externos.

• CVE-2021-30625: Úselo después de gratis en la API de selección. Reportado por Marcin Towalski de Cisco Talos el 2021-08-06
• CVE-2021-30626: Acceso a memoria fuera de los límites en ANGLE. Reportado por Jeonghoon Shin de Theori el 2021-08-18
• CVE-2021-30627: Confusión de tipos en el diseño de Blink. Reportado por Aki Helin de OUSPG el 2021-09-01
• CVE-2021-30628: Desbordamiento del búfer de pila en ANGLE. Reportado por Jaehun Jeong (@ n3sk) de Theori el 2021-08-18
• CVE-2021-30629: Úselo después de gratis en Permisos. Reportado por Weipeng Jiang (@Krace) del Equipo Codesafe de Legendsec en Qi'anxin Group el 2021-08-26
• CVE-2021-30630: Implementación inapropiada en Blink. Reportado por SorryMybad (@ S0rryMybad) de Kunlun Lab el 2021-08-30
•  CVE-2021-30631: Type Confusion en el diseño Blink. Reportado por Atte Kettunen de OUSPG el 2021-09-06
• CVE-2021-30632: Escritura fuera de límites en V8. Reportado por Anonymous el 2021-09-08
• CVE-2021-30633: Úselo después de forma gratuita en la API de base de datos indexada. Reportado por Anonymous el 2021-09-08

Todas las vulnerabilidades anteriores son de ALTA gravedad. No se encontraron problemas críticos que pudieran usarse para eludir todos los niveles de seguridad del navegador y ejecutar código en el sistema de destino fuera del entorno de la caja de arena.