Chrome 93.0.4577.82 remediază mai multe vulnerabilități de 0 zile

Google a actualizat canalul Stable al browserului Chrome la versiunea 93.0.4577.82 pentru Windows, Mac și Linux. Actualizarea va fi lansată în următoarele zile/săptămâni. Există 11 remedieri de securitate, inclusiv două pentru care exploit-uri sunt deja disponibile.

Compania nu a dezvăluit încă detaliile. Se știe doar că prima vulnerabilitate (CVE-2021-30632) este cauzată de o scriere în afara memoriei tampon în motorul JavaScript V8. A doua problemă (CVE-2021-30633) este prezentă în implementarea Indexed DB API și este legată de apelul către zona de memorie după liber (utilizare după liber).

Anunțul oficial enumeră următoarele patch-uri, care au fost trimise de cercetători terți.

• CVE-2021-30625: Utilizați după gratuit în API-ul Selection. Raportat de Marcin Towalski de la Cisco Talos pe 2021-08-06
• CVE-2021-30626: Acces la memorie în afara limitelor în ANGLE. Raportat de Jeonghoon Shin de la Theori pe 2021-08-18
• CVE-2021-30627: Tastați Confuzie în aspectul Blink. Raportat de Aki Helin de la OUSPG pe 2021-09-01
• CVE-2021-30628: Depășirea tamponului de stivă în ANGLE. Raportat de Jaehun Jeong(@n3sk) de la Theori pe 2021-08-18
• CVE-2021-30629: Utilizați după gratuit în Permisiuni. Raportat de Weipeng Jiang (@Krace) de la Codesafe Team of Legendsec la Qi'anxin Group pe 2021-08-26
• CVE-2021-30630: Implementare inadecvată în Blink. Raportat de SorryMybad (@S0rryMybad) de la Kunlun Lab pe 2021-08-30
•  CVE-2021-30631: Tastați Confuzie în aspectul Blink. Raportat de Atte Kettunen de la OUSPG pe 2021-09-06
• CVE-2021-30632: În afara limitelor, scrieți în V8. Raportat de Anonim pe 2021-09-08
• CVE-2021-30633: Utilizați după gratuit în API-ul DB indexat. Raportat de Anonim pe 2021-09-08

Toate vulnerabilitățile de mai sus sunt de severitate MARE. Nu s-au găsit probleme critice care să poată fi utilizate pentru a ocoli toate nivelurile de securitate ale browserului și pentru a executa codul pe sistemul țintă în afara mediului sandbox.