Google выпустила новую версию браузера Chrome под Windows, Mac и Linux с исправлениями для двух недавно обнаруженных уязвимостей безопасности с существующими и активно применяемыми в кибератаках эксплоитами.
Один из двух багов касается недостаточной валидации недоверенных данных ввода в движке рендеринга V8 JavaScript (CVE-2021-21220), что продемонстрировали Бруно Кейт и Никлас Баумстарк из Dataflow Security на прошлой неделе на хакерском конкурсе Pwn2Own 2021 .
Пока Google стремительно латала дыры, исследователь безопасности Раджвардхан Агарвал опубликовал рабочий эксплойт , применив реверс-инжиниринг патча open-source компонента Chromium, что, возможно, сыграло решающую роль в оперативном выпуске обновления Chrome.
ОБНОВЛЕНИЕ: Агарвал в сообщении изданию The Hacker News подтвердил, что есть еще одна влияющая на браузеры на базе Chromium уязвимость, которая была исправлена в последней версии V8, но не была включена в последний релиз Chrome, что делает пользователей потенциально уязвимыми для атак даже после установки нового обновления .
«Несмотря на то, что оба дефекта имеют разную природу, они могут быть использованы для удаленного выполнения произвольного кода в процессе рендеринга», - заявил Агарвал в интервью The Hacker News по электронной почте. «Я подозреваю, что первый патч был срочно выпущен из-за первого опубликованного эксплойта, но поскольку второй патч еще не выпущен, второй эксплоит все еще можно использовать».
Также компанией была решена проблема использования use-after-free уязвимости в движке браузера Blink (CVE-2021-21206). Анонимный исследователь сообщил об этой уязвимости 7 апреля.
«Google знает о сообщениях, что эксплойты для CVE-2021-21206 и CVE-2021-21220 существуют «в дикой природе», - отметил в посте блога менеджер технической программы Chrome Прудикумар Боммана.
Стоит отметить, что существование эксплойта не является свидетельством активной эксплуатации со стороны злоумышленников. С начала года компания Google исправила в Chrome три уязвимости, которые использовались в атаках CVE-2021-21148 , CVE-2021-21166 , и CVE-2021-21193 ..
Ожидается, что версия Chrome 89.0.4389.128 будет выпущена в ближайшие дни. Пользователи могут обновиться до последней версии, перейдя в раздел Настройки > Справка > О Google Chrome, чтобы снизить риск, связанный с упомянутыми дефектами.
Источник: https://is-systems.org
