A Google csütörtökön egy sürgősségi frissítést adott ki a Chrome böngészőjéhez, amely két nulladik napi sebezhetőség javítását tartalmazza, amelyeket a vállalat szerint aktívan kihasználnak.
A CVE-2021-38000 és CVE-2021-38003 néven kiadott hibaismertetések és javítások az Intents nevű funkcióban a nem megbízható bemenet nem megfelelő validálásához, valamint a V8 JavaScript és a WebAssembly motor nem megfelelő végrehajtásához kapcsolódnak. Az internetes óriáscég Threat Analysis Group (TAG) részlegének nevéhez fűződik a két hiba felfedezése és jelentése 2021. szeptember 15-én, illetve 2021. október 26-án.
„A Google tisztában van azzal, hogy a CVE-2021-38000 és a CVE-2021-38003 exploitjai léteznek a vadonban” - jegyezte meg a vállalat egy közleményben anélkül, hogy technikai részletekbe bocsátkozott volna azzal kapcsolatban, hogy a két sebezhetőséget hogyan használták fel a támadásokban, vagy hogy milyen fenyegető szereplők használhatták fegyverként.
A stabil csatornán elérhető frissítés részeként a Web Transport komponensben található, a felszabadítás utáni használat sebezhetőséget (CVE-2021-38002) is kezelik, amelyet a hónap elején Kínában megrendezett Tianfu Cup versenyen mutattak be először. Ezekkel a javításokkal a Google az év eleje óta rekordszámú, 16 nulladik napot oldott meg a webböngészőben.
- CVE-2021-21148 - Heap-puffer túlcsordulás a V8-ban.
- CVE-2021-21166 - Objektum újrahasznosítási probléma az audió alrendszerben
- CVE-2021-21193 - Felszabadítás utáni használat a Blink-ben
- CVE-2021-21206 - Felszabadítás utáni használat a Blink-ben.
- CVE-2021-21220 - A nem megbízható bemenet nem megfelelő validálása a V8-ban x86_64 esetén
- CVE-2021-21224 - Típuszavar a V8-ban
- CVE-2021-30551 - Típuszavar a V8-ban
- CVE-2021-30554 - Felszabadítás utáni használat a WebGL-ben
- CVE-2021-30563 - Típuszavar a V8-ban
- CVE-2021-30632 - Határon túli írás a V8-ban
- CVE-2021-30633 - Felszabadítás utáni használat az indexelt DB API-ban
- CVE-2021-37973 - Felszabadítás utáni használat a Portal-okban
- CVE-2021-37975 - Felszabadítás utáni használat a V8-ban
- CVE-2021-37976 - Információszivárgás a core-ban
Frissítsen mihamarabb!
A Chrome-felhasználóknak azt tanácsoljuk, hogy frissítsenek a legújabb verzióra (95.0.4638.69) Windows, Mac és Linux rendszereken a „Beállítások” menü „Súgó” almenüben „A Google Chrome-ról” menüpont alatt, hogy csökkentsék az aktív kihasználás lehetséges kockázatát. Ugyanúgy javasoljuk a Blink alapú böngészők
- Chromium
- Edge
- Vivaldi
- Opera
- Brave
azonnali frissítését is.
