A Chrome 93.0.4577.82 számos 0 napos biztonsági rést javít

A Google frissítette a Chrome böngésző Stable csatornáját a 93.0.4577.82-es verzióra Windows, Mac és Linux rendszeren. A frissítés a következő napokban/hetekben fog megjelenni. 11 biztonsági javítás van, köztük kettő, amelyhez már elérhető exploit.

A cég egyelőre nem hozta nyilvánosságra a részleteket. Csak annyit tudni, hogy az első biztonsági rést (CVE-2021-30632) a V8 JavaScript motor pufferen kívüli írása okozza. A második probléma (CVE-2021-30633) az Indexed DB API megvalósításban van jelen, és a memóriaterület hívásához kapcsolódik a szabad (használat után a szabad) után.

A hivatalos közlemény a következő javításokat sorolja fel, amelyeket külső kutatók küldtek be.

• CVE-2021-30625: Ingyenes használat után a Selection API-ban. Marcin Towalski, a Cisco Talos munkatársa jelentette, 2021-08-06
• CVE-2021-30626: Határokon kívüli memóriahozzáférés ANGLE-ben. Jeonghoon Shin, Theori jelentése 2021-08-18
• CVE-2021-30627: Típuszavar a villogó elrendezésben. Jelentette: Aki Helin, az OUSPG munkatársa, 2021-09-01
• CVE-2021-30628: Verem puffer túlcsordulás ANGLE-ben. Jelentette: Jaehun Jeong (@n3sk), Theori, 2021-08-18
• CVE-2021-30629: Használja ingyenes után az engedélyekben. Jelentette Weipeng Jiang (@Krace) a Codesafe Team of Legendsec csapatától a Qi'anxin Groupnál, 2021.08.26.
• CVE-2021-30630: Nem megfelelő megvalósítás a Blinkben. A Kunlun Lab SorryMybad (@S0rryMybad) jelentése 2021-08-30
•  CVE-2021-30631: Típuszavar a villogó elrendezésben. Atte Kettunen, az OUSPG munkatársa jelentette, 2021-09-06
• CVE-2021-30632: A határokon kívül írás a V8-ban. Anonymous jelentette, 2021-09-08
• CVE-2021-30633: Ingyenes használat után az Indexed DB API-ban. Anonymous jelentette, 2021-09-08

A fenti sérülékenységek mindegyike MAGAS súlyosságú. Nem találtunk olyan kritikus problémát, amely a böngésző összes biztonsági szintjének megkerülésére és kód futtatására használható volna a célrendszeren a sandbox környezeten kívül.