Google исправил второй активно эксплуатируемый Chrome "нулевой день" в этом месяце, выпустив Chrome 89.0.4389.90 на канале стабильного рабочего стола для пользователей Windows, Mac и Linux.
«Google осведомлен о сообщениях о распространении уязвимости для CVE-2021-21193», - говорится в объявлении о выпуске .
Нет подробностей относительно продолжающихся атак
Уязвимость нулевого дня, отслеживаемая как CVE-2021-21193 , оценивается Google как уязвимость высокой степени опасности, о чем сообщил анонимный исследователь во вторник.Google описывает это как использование после бесплатной ошибки в Blink , движке рендеринга браузера с открытым исходным кодом, разработанном проектом Chromium при участии Google, Facebook, Microsoft и других.
Успешное использование этого нулевого дня может привести к выполнению произвольного кода в системах с уязвимыми версиями Chrome.
Несмотря на то, что Google сообщает, что ему известно об активной эксплуатации CVE-2021-21193, он не поделился информацией об этих продолжающихся атаках.
«Доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновят исправление», - сказал Google.
«Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но еще не исправлена».
Пока не будет доступна дополнительная информация, у пользователей Chrome должно быть больше времени для установки обновления безопасности, которое будет выпущено в ближайшие дни, чтобы предотвратить попытки эксплуатации.
Отсутствие дополнительной информации также помешает другим злоумышленникам разрабатывать собственные эксплойты, нацеленные на этот нулевой день.
Третье исправление нулевого дня Chrome в этом году
Еще одна ошибка нулевого дня (CVE-2021-21166), использовавшаяся в дикой природе и описанная как «Проблема жизненного цикла объекта в звуке», была устранена с выпуском Chrome 89.0.4389.72, который начал развертываться 2 марта.Еще одна активно эксплуатируемая уязвимость нулевого дня Chrome , ошибка переполнения буфера кучи в V8, отслеживаемая как CVE-2021-2114 и оцененная как высокая степень серьезности, была исправлена в феврале.
В прошлом году Google исправил пять дополнительных нулевых дней Chrome в течение одного месяца, с 20 октября по 12 ноября, и все они также активно использовались в атаках.
В сегодняшнем выпуске Chrome устранены четыре другие уязвимости, две из которых были внесены внешними исследователями:
- [ 1167357 ] High CVE-2021-21191: использовать после бесплатного использования в WebRTC. Об этом сообщает raven (@raid_akame) 15 января 2021 г.
- [ 1181387 ] Высокий CVE-2021-21192: переполнение буфера кучи в группах вкладок. Об этом сообщил Абдулрахман Алькабанди, специалист по исследованию уязвимостей браузера Microsoft, 23 февраля 2021 г.
Перевод - Google
Bleeping Computer
