Google выпустила Chrome 95.0.4638.69 для Windows, Mac и Linux, чтобы исправить две уязвимости нулевого дня, которые активно использовались злоумышленниками.
«Google знает, что эксплойты для CVE-2021-38000 и CVE-2021-38003 существуют в дикой природе», - сообщил Google в списке исправлений безопасности в сегодняшнем выпуске Google Chrome.
Хотя Google заявляет, что новая версия может занять некоторое время, чтобы достичь всех, обновление уже начало развертывание Chrome 95.0.4638.69 для пользователей по всему миру в канале стабильного рабочего стола.
Чтобы установить обновление Chrome немедленно, перейдите в меню Chrome > Справка > О Google Chrome , и браузер начнет выполнять обновление.
Chrome 95.0.4638.69 был установлен сразу
Google Chrome также проверит наличие доступных обновлений и установит их при следующем запуске веб-браузера.
Подробности атак нулевого дня не разглашаются
В этом выпуске Chrome исправлено в общей сложности семь уязвимостей, две из которых относятся к нулевым дням и, как известно, эксплуатировались в дикой природе.Первый нулевой день, отслеживаемый как CVE-2021-38000 , описывается как «Недостаточная проверка ненадежных входных данных в намерениях», и ему был присвоен высокий уровень серьезности. Эта уязвимость была обнаружена Клементом Лесинье, Нилом Мехтой и Мэдди Стоун из Google Threat Analysis Group 15 сентября 2021 года.
Второй нулевой день, отслеживаемый как CVE-2021-38003 , представляет собой ошибку «Несоответствующая реализация» высокой степени серьезности в движке JavaScript Chrome V8. Эта уязвимость также была обнаружена Lecigne и сообщена 24 октября.
На данный момент ни Google, ни исследователи не предоставили дополнительной информации о том, как злоумышленники использовали уязвимости в атаках. Однако, когда Google обнаружил уязвимости, мы можем узнать больше в будущих отчетах Google TAG или Project Zero.
Поскольку эти две уязвимости использовались в атаках, всем пользователям Chrome рекомендуется выполнить обновление вручную или перезапустить браузер, чтобы установить последнюю версию.
Пятнадцая атака нулевого дня установлена в этом году
С помощью этих исправлений Google с начала 2021 года исправил 15 уязвимостей нулевого дня Chrome.Остальные тринадцать нулевых дней, исправленные в этом году, перечислены ниже:
- CVE-2021-21148 - 4 февраля 2021 г.
- CVE-2021-21166 - 2 марта 2021 г.
- CVE-2021-21193 - 12 марта 2021 г.
- CVE-2021-21220 - 13 апреля 2021 г.
- CVE-2021-21224 - 20 апреля 2021 г.
- CVE-2021-30551 - 9 июня 2021 г.
- CVE-2021-30554 - 17 июня 2021 г.
- CVE-2021-30563 - 15 июля 2021 г.
- CVE-2021-30632 и CVE-2021-30633 - 13 сентября
- CVE-2021-37973 - 24 сентября 2021 г.
- CVE-2021-37976 и CVE-2021-37975 - 30 сентября 2021 г.
Перевод - Google
Bleeping Computer