Chrome 93.0.4577.82 remediază mai multe vulnerabilități de 0 zile
Google a actualizat canalul Stable al browserului Chrome la versiunea 93.0.4577.82 pentru Windows, Mac și Linux. Actualizarea va fi lansată în următoarele zile/săptămâni. Există 11 remedieri de securitate, inclusiv două pentru care exploit-uri sunt deja disponibile.
Compania nu a dezvăluit încă detaliile. Se știe doar că prima vulnerabilitate (CVE-2021-30632) este cauzată de o scriere în afara memoriei tampon în motorul JavaScript V8. A doua problemă (CVE-2021-30633) este prezentă în implementarea Indexed DB API și este legată de apelul către zona de memorie după liber (utilizare după liber).
Anunțul oficial enumeră următoarele patch-uri, care au fost trimise de cercetători terți.
- CVE-2021-30625: Utilizați după gratuit în API-ul Selection. Raportat de Marcin Towalski de la Cisco Talos pe 2021-08-06
- CVE-2021-30626: Acces la memorie în afara limitelor în ANGLE. Raportat de Jeonghoon Shin de la Theori pe 2021-08-18
- CVE-2021-30627: Tastați Confuzie în aspectul Blink. Raportat de Aki Helin de la OUSPG pe 2021-09-01
- CVE-2021-30628: Depășirea tamponului de stivă în ANGLE. Raportat de Jaehun Jeong(@n3sk) de la Theori pe 2021-08-18
- CVE-2021-30629: Utilizați după gratuit în Permisiuni. Raportat de Weipeng Jiang (@Krace) de la Codesafe Team of Legendsec la Qi'anxin Group pe 2021-08-26
- CVE-2021-30630: Implementare inadecvată în Blink. Raportat de SorryMybad (@S0rryMybad) de la Kunlun Lab pe 2021-08-30
- CVE-2021-30631: Tastați Confuzie în aspectul Blink. Raportat de Atte Kettunen de la OUSPG pe 2021-09-06
- CVE-2021-30632: În afara limitelor, scrieți în V8. Raportat de Anonim pe 2021-09-08
- CVE-2021-30633: Utilizați după gratuit în API-ul DB indexat. Raportat de Anonim pe 2021-09-08
Toate vulnerabilitățile de mai sus sunt de severitate MARE. Nu s-au găsit probleme critice care să poată fi utilizate pentru a ocoli toate nivelurile de securitate ale browserului și pentru a executa codul pe sistemul țintă în afara mediului sandbox.