Google исправила две уязвимости в Chrome, включая 0Day

Google исправила две уязвимости в Chrome, включая 0Day

В Сети уже существует PoC-код для эксплуатации одной из исправленных уязвимостей.

image

Специалисты компании Google выпустили новую версию браузера Chrome (89.0.4389.128) для Windows, macOS и Linux, исправляющую две уязвимости, для одной из которых уже существует PoC-код, а вторая активно эксплуатируется в атаках.

В первом случае речь идет об уязвимости CVE-2021-21220 в рендеринговом JavaScript-движке V8, продемонстрированной экспертами в рамках конкурса Pwn2Own 2021.

Напомним, исследователь безопасности Раджвардхан Агарвал опубликовал рабочий эксплоит для эксплуатации CVE-2021-21220, проведя обратную разработку патча в исходном коде компонента браузера. Агарвал также сообщил о наличии еще одной уязвимости, затрагивающей браузеры на основе Chromium. Проблема была исправлена в других браузерах, однако последний выпуск Chrome остается уязвимым к атакам.

«Проблемы различны по своей природе, они обе могут быть использованы для удаленного выполнения кода в процессе рендеринга», — пояснил специалист.

Еще одна уязвимость, CVE-2021-21206 , представляет собой проблему использования после освобождения в браузерном движке Blink для Chromium. По данным Google, она уже используется в реальных атаках, но компания, как обычно, не раскрывает подробности, пока обновление не установит большинство пользователей.


Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.