Chrome 93.0.4577.82 novērš vairākas 0 dienu ievainojamības

Google ir atjauninājis pārlūkprogrammas Chrome stabilo kanālu uz versiju 93.0.4577.82 operētājsistēmai Windows, Mac un Linux. Atjauninājums tiks ieviests tuvāko dienu/nedēļu laikā. Ir 11 drošības labojumi, tostarp divi, kuriem jau ir pieejami uzlabojumi.

Uzņēmums vēl nav atklājis sīkāku informāciju. Ir zināms tikai tas, ka pirmo ievainojamību (CVE-2021-30632) izraisa V8 JavaScript dzinēja ierakstīšana ārpus bufera. Otrā problēma (CVE-2021-30633) ir sastopama Indexed DB API implementācijā un ir saistīta ar izsaukumu uz atmiņas apgabalu pēc brīvas (izmantot pēc bezmaksas).

Oficiālajā paziņojumā ir uzskaitīti šādi ielāpi, kurus iesnieguši trešās puses pētnieki.

• CVE-2021-30625: izmantojiet pēc brīvas izvēles API. Ziņoja Marcin Towalski no Cisco Talos 2021.08.06
• CVE-2021-30626: ārpus robežām piekļuve atmiņai režīmā ANGLE. Ziņoja Džonhūns Šins no Theori 2021.08.18
• CVE-2021-30627: Tipa apjukums mirkšķināšanas izkārtojumā. Ziņoja Aki Helin no OUSPG 2021. 09.01
• CVE-2021-30628: steka bufera pārpilde leņķī ANGLE. Ziņoja Jaehun Jeong (@n3sk) no Theori 2021.08.18.
• CVE-2021-30629: izmantojiet pēc brīvas atļaujas. Ziņoja Weipeng Jiang (@Krace) no Codesafe Team of Legendsec Qi'anxin Group 2021.08.26.
• CVE-2021-30630: neatbilstoša ieviešana pakalpojumā Blink. Ziņoja SorryMybad (@S0rryMybad) no Kunlun Lab 2021.08.30.
•  CVE-2021-30631: Tipa apjukums mirkšķināšanas izkārtojumā. Ziņoja Atte Kettunen no OUSPG 2021. gada 6. septembrī
• CVE-2021-30632: ārpus robežām rakstīt V8. Ziņo Anonymous 2021-09-08
• CVE-2021-30633: izmantojiet pēc brīvas lietošanas indeksētā DB API. Ziņo Anonymous 2021-09-08

Visas iepriekš minētās ievainojamības ir AUGSTAS smaguma pakāpes. Netika atrastas nekādas kritiskas problēmas, ko varētu izmantot, lai apietu visus pārlūkprogrammas drošības līmeņus un izpildītu kodu mērķa sistēmā ārpus smilškastes vides.