Chrome 93.0.4577.82 parandab mitu 0-päevast turvaauku

Google on värskendanud Chrome'i brauseri stabiilse kanali Windowsi, Maci ja Linuxi versioonile 93.0.4577.82. Värskendus avaldatakse lähipäevadel/nädalatel. Seal on 11 turvaparandust, sealhulgas kaks, mille jaoks on juba saadaval.

Ettevõte pole üksikasju veel avalikustanud. On vaid teada, et esimese haavatavuse (CVE-2021-30632) põhjustab V8 JavaScripti mootoris puhvrist väljas kirjutamine. Teine probleem (CVE-2021-30633) esineb indekseeritud DB API teostuses ja on seotud kõnega mälualale pärast vaba (kasuta pärast vaba).

Ametlikus teadaandes on loetletud järgmised plaastrid, mille esitasid kolmandatest osapooltest teadlased.

• CVE-2021-30625: kasutage valiku API-s pärast tasuta kasutamist. Arutanud Marcin Towalski Cisco Talosest 2021-08-06
• CVE-2021-30626: ANGLE-i mälu juurdepääs väljaspool piire. Teatas Jeonghoon Shin Theorist 2021-08-18
• CVE-2021-30627: Tüüp Segadus vilkumise paigutuses. Esitas Aki Helin OUSPG-st 2021-09-01
• CVE-2021-30628: virnapuhvri ületäitumine asendis ANGLE. Teatanud Jaehun Jeong(@n3sk) Theorist 2021-08-18
• CVE-2021-30629: Kasutage pärast tasuta jaotises Lubasid. Teatas Weipeng Jiang (@Krace) Qi'anxin Groupi Legendseci Codesafe meeskonnast 26.08.2021.
• CVE-2021-30630: sobimatu rakendamine rakenduses Blink. Teatas Kunlun Labi SorryMybad (@S0rryMybad) 2021-08-30
•  CVE-2021-30631: Tüüp Segadus vilkumise paigutuses. Arutanud Atte Kettunen OUSPG-st 2021-09-06
• CVE-2021-30632: piiridest väljas kirjuta V8-s. Anonymous teatanud 2021-09-08
• CVE-2021-30633: kasutage pärast tasuta kasutamist indekseeritud DB API-s. Anonymous teatanud 2021-09-08

Kõik ülaltoodud haavatavused on KÕRGE raskusastmega. Ei leitud kriitilisi probleeme, mida saaks kasutada kõigist brauseri turbetasemetest möödahiilimiseks ja sihtsüsteemis koodi käivitamiseks väljaspool liivakastikeskkonda.