Chrome 93.0.4577.82 fixar flera 0-dagars sårbarheter

Google har uppdaterat den stabila kanalen i Chrome-webbläsaren till version 93.0.4577.82 för Windows, Mac och Linux. Uppdateringen kommer att rullas ut under de kommande dagarna/veckorna. Det finns 11 säkerhetskorrigeringar, inklusive två för vilka exploateringar redan finns tillgängliga.

Företaget har ännu inte avslöjat detaljerna. Det är bara känt att den första sårbarheten (CVE-2021-30632) orsakas av en skrivning utanför bufferten i V8 JavaScript-motorn. Det andra problemet (CVE-2021-30633) finns i Implementeringen av Indexed DB API och är relaterat till anropet till minnesområdet efter fri (använd efter fri).

Det officiella tillkännagivandet listar följande patchar, som skickades in av tredjepartsforskare.

• CVE-2021-30625: Använd after free i Selection API. Rapporterad av Marcin Towalski från Cisco Talos 2021-08-06
• CVE-2021-30626: Minnesåtkomst utanför gränserna i ANGLE. Rapporterad av Jeonghoon Shin från Theori 2021-08-18
• CVE-2021-30627: Skriv Confusion i Blink layout. Rapporterad av Aki Helin från OUSPG 2021-09-01
• CVE-2021-30628: Stack buffertspill i ANGLE. Rapporterad av Jaehun Jeong(@n3sk) från Theori 2021-08-18
• CVE-2021-30629: Använd efter gratis i Behörigheter. Rapporterad av Weipeng Jiang (@Krace) från Codesafe Team of Legendsec på Qi'anxin Group 2021-08-26
• CVE-2021-30630: Olämplig implementering i Blink. Rapporterad av SorryMybad (@S0rryMybad) från Kunlun Lab 2021-08-30
•  CVE-2021-30631: Skriv Confusion i Blink layout. Rapporterad av Atte Kettunen från OUSPG 2021-09-06
• CVE-2021-30632: Out of bounds skriv i V8. Anmäld av Anonym 2021-09-08
• CVE-2021-30633: Använd after free i Indexed DB API. Anmäld av Anonym 2021-09-08

Alla ovanstående sårbarheter är av HÖG allvarlighetsgrad. Inga kritiska problem hittades som kunde användas för att kringgå alla webbläsarsäkerhetsnivåer och exekvera kod på målsystemet utanför sandlådemiljön.