Chrome 93.0.4577.82 מתקן מספר נקודות תורפה של 0 ימים

גוגל עדכנה את הערוץ היציב של דפדפן כרום לגרסה 93.0.4577.82 עבור Windows, Mac ו-Linux. העדכון ייצא במהלך הימים/שבועות הקרובים. ישנם 11 תיקוני אבטחה, כולל שניים שעבורם כבר זמינים ניצולים.

החברה טרם חשפה את הפרטים. ידוע רק שהפגיעות הראשונה (CVE-2021-30632) נגרמת כתוצאה מכתיבה מחוץ למאגר במנוע V8 JavaScript. הבעיה השנייה (CVE-2021-30633) קיימת ביישום אינדקס DB API וקשורה לקריאה לאזור הזיכרון לאחר חופש (שימוש לאחר חופש).

ההודעה הרשמית מפרטת את התיקונים הבאים, שהוגשו על ידי חוקרים של צד שלישי.

• CVE-2021-30625: השתמש לאחר חינם ב-Selection API. דווח על ידי Marcin Towalski מ-Cisco Talos ב-2021-08-06
• CVE-2021-30626: גישה לזיכרון מחוץ לתחום ב-ANGLE. דווח על ידי Jeonghoon Shin מ-Theori ב-2021-08-18
• CVE-2021-30627: הקלד בלבול בפריסת Blink. דווח על ידי אקי הלין מ-OUSPG ב-2021-09-01
• CVE-2021-30628: הצפת מאגר מחסנית ב-ANGLE. דווח על ידי Jaehun Jeong(@n3sk) מ-Theori ב-2021-08-18
• CVE-2021-30629: השתמש לאחר חינם בהרשאות. דווח על ידי Weipeng Jiang (@Krace) מ-Codesafe Team of Legendsec ב-Qi'anxin Group בתאריך 2021-08-26
• CVE-2021-30630: יישום לא הולם ב-Blink. דווח על ידי SorryMybad (@S0rryMybad) ממעבדת Kunlun בתאריך 2021-08-30
•  CVE-2021-30631: הקלד בלבול בפריסת Blink. דווח על ידי Atte Kettunen מ-OUSPG ב-2021-09-06
• CVE-2021-30632: מחוץ לתחום כתוב ב-V8. דווח על ידי אנונימי בתאריך 2021-09-08
• CVE-2021-30633: השתמש לאחר בחינם ב-API של אינדקס DB. דווח על ידי אנונימי בתאריך 2021-09-08

כל הפגיעות הנ"ל הן בדרגת חומרה גבוהה. לא נמצאו בעיות קריטיות שניתן להשתמש בהן כדי לעקוף את כל רמות האבטחה של הדפדפן ולהפעיל קוד על מערכת היעד מחוץ לסביבת ארגז החול.