Chrome 93.0.4577.82 popravlja nekoliko 0-dnevnih ranjivosti

Google je ažurirao stabilni kanal preglednika Chrome na verziju 93.0.4577.82 za Windows, Mac i Linux. Ažuriranje će se pojaviti u narednim danima/tjednima. Postoji 11 sigurnosnih popravaka, uključujući dva za koja su već dostupna eksploatacija.

Tvrtka još nije otkrila detalje. Poznato je samo da je prva ranjivost (CVE-2021-30632) uzrokovana pisanjem izvan međuspremnika u V8 JavaScript motoru. Drugi problem (CVE-2021-30633) prisutan je u implementaciji Indexed DB API i povezan je s pozivom memorijskog područja nakon oslobađanja (koristi nakon besplatnog).

Službeno priopćenje navodi sljedeće zakrpe koje su poslali istraživači trećih strana.

• CVE-2021-30625: Koristite nakon besplatnog u Selection API-ju. Izvijestio Marcin Towalski iz Cisco Talosa 06.08.2021
• CVE-2021-30626: Pristup memoriji izvan granica u ANGLE-u. Izvijestio Jeonghoon Shin iz Theoria 18.08.2021
• CVE-2021-30627: Upišite Zbrka u Blink izgledu. Izvijestio Aki Helin iz OUSPG-a 01.09.2021
• CVE-2021-30628: Prelijevanje međuspremnika steka u ANGLE. Izvijestio Jaehun Jeong(@n3sk) iz Theori 18.08.2021.
• CVE-2021-30629: Koristite nakon besplatnog u Dopuštenjima. Izvijestio Weipeng Jiang (@Krace) iz Codesafe Team of Legendsec iz Qi'anxin Group 26.08.2021.
• CVE-2021-30630: Neprikladna implementacija u Blinku. Izvijestio SorryMybad (@S0rryMybad) iz laboratorija Kunlun 30.08.2021.
•  CVE-2021-30631: Upišite Zbrka u Blink izgledu. Izvijestio Atte Kettunen iz OUSPG-a 06.09.2021
• CVE-2021-30632: Izvan granica upišite u V8. Izvijestio Anonymous 08.09.2021
• CVE-2021-30633: Koristite nakon besplatnog u API-ju indeksirane DB. Izvijestio Anonymous 08.09.2021

Sve gore navedene ranjivosti su VISOKE ozbiljnosti. Nisu pronađeni kritični problemi koji bi se mogli koristiti za zaobilaženje svih sigurnosnih razina preglednika i izvršavanje koda na ciljnom sustavu izvan okruženja sandboxa.