Chrome 93.0.4577.82は、いくつかのゼロデイ脆弱性を修正します

Googleは、Windows、Mac、およびLinux用のChromeブラウザのStableチャネルをバージョン93.0.4577.82に更新しました。 アップデートは、今後数日/数週間にわたって展開されます。 11のセキュリティ修正があり、そのうち2つはエクスプロイトがすでに利用可能です。

同社はまだ詳細を明らかにしていない。 最初の脆弱性（CVE-2021-30632）は、V8JavaScriptエンジンでのバッファー不足の書き込みが原因であることがわかっています。 2番目の問題（CVE-2021-30633）は、Indexed DB API実装に存在し、解放後のメモリ領域への呼び出しに関連しています（解放後に使用）。

公式発表には、サードパーティの研究者によって提出された次のパッチがリストされています。

• CVE-2021-30625：SelectionAPIで解放後に使用します。 2021-08-06にCiscoTalosのMarcinTowalskiによって報告されました
• CVE-2021-30626：ANGLEの範囲外のメモリアクセス。 2021-08-18にTheoriのJeonghoonShinによって報告されました
• CVE-2021-30627：BlinkレイアウトでConfusionと入力します。 2021-09-01にOUSPGのAkiHelinによって報告されました
• CVE-2021-30628：ANGLEでスタックバッファオーバーフローが発生しました。 2021-08-18にTheoriのJaehunJeong（@ n3sk）によって報告されました
• CVE-2021-30629：パーミッションで解放後に使用します。 2021-08-26にQi'anxinGroupのLegendsecのCodesafeチームからWeipengJiang（@Krace）によって報告されました
• CVE-2021-30630：Blinkでの不適切な実装。 2021-08-30にKunlunLabのSorryMybad（@ S0rryMybad）によって報告されました
•  CVE-2021-30631：点滅レイアウトでタイプの混乱。 2021-09-06にOUSPGのAtteKettunenによって報告されました
• CVE-2021-30632：V8で範囲外の書き込み。 2021-09-08に匿名によって報告されました
• CVE-2021-30633：Indexed DBAPIで解放後に使用します。 2021-09-08に匿名によって報告されました

上記の脆弱性はすべて重大度が高くなっています。 すべてのブラウザセキュリティレベルをバイパスし、サンドボックス環境外のターゲットシステムでコードを実行するために使用できる重大な問題は見つかりませんでした。