Chrome 93.0.4577.82 odpravlja več ranljivosti za 0 dni

Google je posodobil Stable kanal brskalnika Chrome na različico 93.0.4577.82 za Windows, Mac in Linux. Posodobitev bo uvedena v prihodnjih dneh/tednih. Obstaja 11 varnostnih popravkov, vključno z dvema, za katera so izkoriščanja že na voljo.

Podjetje podrobnosti še ni razkrilo. Znano je le, da je prva ranljivost (CVE-2021-30632) posledica zapisovanja izven medpomnilnika v motorju JavaScript V8. Druga težava (CVE-2021-30633) je prisotna v implementaciji API-ja indeksirane DB in je povezana s klicem pomnilniškega območja po prostem (uporaba po brezplačnem).

Uradno obvestilo navaja naslednje popravke, ki so jih predložili raziskovalci tretjih oseb.

• CVE-2021-30625: Uporabite po brezplačni v Selection API. Poročal Marcin Towalski iz Cisco Talos 6. 8. 2021
• CVE-2021-30626: Izven meja dostopa do pomnilnika v ANGLE. Poročal Jeonghoon Shin iz Theori dne 18.08.2021
• CVE-2021-30627: Vnesite Zmeda v postavitvi Blink. Poročal Aki Helin iz OUSPG 1. 9. 2021
• CVE-2021-30628: prelivanje medpomnilnika sklada v ANGLE. Poročal Jaehun Jeong(@n3sk) iz Theori dne 18.08.2021
• CVE-2021-30629: Uporabite po brezplačnih v dovoljenjih. Poročal Weipeng Jiang (@Krace) iz Codesafe Team of Legendsec pri Qi'anxin Group dne 26.08.2021
• CVE-2021-30630: Neustrezna implementacija v Blinku. Poročal SorryMybad (@S0rryMybad) iz laboratorija Kunlun 30.08.2021
•  CVE-2021-30631: Vnesite Zmeda v postavitvi Blink. Poročal Atte Kettunen iz OUSPG dne 06.09.2021
• CVE-2021-30632: Izven meja pišite v V8. Poročal Anonymous dne 2021-09-08
• CVE-2021-30633: Uporabite po brezplačni v API-ju indeksirane DB. Poročal Anonymous dne 2021-09-08

Vse zgoraj navedene ranljivosti so VISOKE resnosti. Ugotovljene niso bile nobene kritične težave, ki bi jih bilo mogoče uporabiti za obhod vseh stopenj varnosti brskalnika in izvajanje kode v ciljnem sistemu zunaj okolja peskovnika.