O Chrome 93.0.4577.82 corrige várias vulnerabilidades de 0 dias

O Google atualizou o canal Stable do navegador Chrome para a versão 93.0.4577.82 para Windows, Mac e Linux. A atualização será implementada nos próximos dias / semanas. Existem 11 correções de segurança, incluindo duas para as quais já existem exploits disponíveis.

A empresa ainda não divulgou os detalhes. Sabe-se apenas que a primeira vulnerabilidade (CVE-2021-30632) é causada por uma gravação fora do buffer no mecanismo V8 JavaScript. O segundo problema (CVE-2021-30633) está presente na implementação da API Indexed DB e está relacionado à chamada para a área de memória após a liberação (uso após a liberação).

O anúncio oficial lista os seguintes patches, que foram enviados por pesquisadores terceirizados.

• CVE-2021-30625: Use após gratuito na API Selection. Relatado por Marcin Towalski da Cisco Talos em 2021-08-06
• CVE-2021-30626: Acesso à memória fora dos limites em ANGLE. Relatado por Jeonghoon Shin de Theori em 2021-08-18
• CVE-2021-30627: Digite Confusão no layout Pisca. Relatado por Aki Helin da OUSPG em 2021-09-01
• CVE-2021-30628: Estouro do buffer de pilha em ANGLE. Relatado por Jaehun Jeong (@ n3sk) de Theori em 2021-08-18
• CVE-2021-30629: Use após gratuito em Permissões. Relatado por Weipeng Jiang (@Krace) do Codesafe Team of Legendsec no Qi'anxin Group em 2021-08-26
• CVE-2021-30630: Implementação inadequada no Blink. Relatado por SorryMybad (@ S0rryMybad) do Kunlun Lab em 2021-08-30
•  CVE-2021-30631: Digite Confusão no layout Pisca. Relatado por Atte Kettunen da OUSPG em 2021-09-06
• CVE-2021-30632: Gravação fora dos limites em V8. Relatado por Anonymous em 2021-09-08
• CVE-2021-30633: Use depois de livre na API de banco de dados indexada. Relatado por Anonymous em 2021-09-08

Todas as vulnerabilidades acima são de gravidade ALTA. Nenhum problema crítico foi encontrado que pudesse ser usado para ignorar todos os níveis de segurança do navegador e executar o código no sistema de destino fora do ambiente de sandbox.