Google исправил 6 активно эксплуатируемых уязвимостей нулевого дня в Chrome в этом году

2021-06-10 1648 комментарии
Компания Google выпустила новую версию Chrome 91.0.4472.101 для Windows, Mac и Linux, в которой исправила в общей сложности 14 проблем безопасности, в том числе уязвимость нулевого дня CVE-2021-30551

Новая версия Chrome уже стала поставляться пользователям по всему миру, и в ближайшее время станет доступна абсолютно всем.

Chrome попытается автоматически установить новую версию при запуске браузера, но вы можете выполнить ручную проверку, перейдя в Меню > Справка > О браузере Google Chrome.

Скачать Google Chrome 91

В 2021 году в Chrome исправлено 6 уязвимостей нулевого дня

В настоящее время доступно мало подробностей об исправленной уязвимости. Известно, что это уязвимость типа «type confusion» в движке Javascript V8.

Уязвимость была обнаружена участником проекта Google Project Zero Сергеем Глазуновым, и ей были присвоен идентификатор CVE-2021-30551.

Google заявляет, что компании известно о «реально существующем эксплойте для CVE-2021-30551».

Шейн Хантли (Shane Huntley), руководитель группы анализа угроз Google, говорит, что эта уязвимость использовалась теми же злоумышленниками, которые эксплуатировали CVE-2021-33742 в Windows, исправленную Microsoft пару дней назад во «Вторник Патчей».

Google также обновил информацию по исправленным уязвимостям нулевого дня в Chrome в 2021 году. Кроме CVE-2021-30551, в списке значатся:

  • CVE-2021-21148 – 4 февраля 2021 г.
  • CVE-2021-21166 – 2 марта 2021 г.
  • CVE-2021-21193 – 12 марта 2021 г.
  • CVE-2021-21220 – 13 апреля 2021 г.
  • CVE-2021-21224 – 20 апреля 2021 г.

Также накануне появилась информация о группе злоумышленников Puzzlemaker, которая использует цепочку уязвимостей Google Chrome, чтобы обойти изолированную среду браузера и установить вредоносное ПО в Windows.

Исследователи отмечают:

После того, как злоумышленники использовали эксплойты для Chrome и Windows для закрепления в целевой системе, модуль stager загружает с удаленного сервера и запускает более сложный дроппер вредоносного ПО.

Во «Вторник патчей», 8 июня, компания Microsoft устранила уязвимости в Windows, но «Лаборатория Касперского» не смогла определить, какие уязвимости Chrome использовались в атаках группировки Puzzlemaker. Считается, что они могли использовать CVE-2021-21224 в Chrome, но не исключается, что группой применялись еще нераскрытые уязвимости нулевого дня в Chrome.

© . По материалам Bleeping Computer

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?