„Chrome 93.0.4577.82“ pataiso keletą 0 dienų pažeidžiamumų

„Google“ atnaujino „Chrome“ naršyklės stabilų kanalą į 93.0.4577.82 versiją, skirtą „Windows“, „Mac“ ir „Linux“. Atnaujinimas bus išleistas artimiausiomis dienomis / savaitėmis. Yra 11 saugos pataisymų, įskaitant du, kurių išnaudojimai jau yra.

Detalių bendrovė kol kas neatskleidė. Žinoma tik tai, kad pirmasis pažeidžiamumas (CVE-2021-30632) atsirado dėl V8 JavaScript variklio įrašymo iš buferio. Antroji problema (CVE-2021-30633) yra Indexed DB API diegime ir yra susijusi su iškvietimu į atminties sritį po laisvo (naudoti po nemokamo).

Oficialiame pranešime išvardyti šie pataisymai, kuriuos pateikė trečiųjų šalių tyrinėtojai.

• CVE-2021-30625: naudokite nemokamai pasirinkimo API. Pranešė Marcin Towalski iš Cisco Talos 2021-08-06
• CVE-2021-30626: ANGLE atminties prieiga už ribų. Pranešė Jeonghoonas Shinas iš Theori 2021-08-18
• CVE-2021-30627: Tipo painiavos mirksėjimo išdėstyme. Pranešė Aki Helin iš OUSPG 2021-09-01
• CVE-2021-30628: Krūvos buferio perpildymas kampu. Pranešė Jaehun Jeong (@n3sk) iš Theori 2021-08-18
• CVE-2021-30629: naudoti po nemokamo leidimų. Pranešė Weipeng Jiang (@Krace) iš Codesafe Team of Legendsec Qi'anxin Group 2021-08-26
• CVE-2021-30630: netinkamas Blink diegimas. Pranešė SorryMybad (@S0rryMybad) iš Kunlun Lab 2021-08-30
•  CVE-2021-30631: Tipo painiavos mirksėjimo išdėstyme. Pranešė Atte Kettunen iš OUSPG 2021-09-06
• CVE-2021-30632: už ribų rašykite V8. Anonimas pranešė 2021-09-08
• CVE-2021-30633: naudokite po nemokamai Indexed DB API. Anonimas pranešė 2021-09-08

Visi pirmiau minėti pažeidžiamumai yra labai pavojingi. Nerasta jokių kritinių problemų, kurias būtų galima naudoti norint apeiti visus naršyklės saugos lygius ir vykdyti kodą tikslinėje sistemoje už smėlio dėžės aplinkos ribų.