Google исправил 6 активно эксплуатируемых уязвимостей нулевого дня в Chrome в этом году

2021-06-10 4215 комментарии
Компания Google выпустила новую версию Chrome 91.0.4472.101 для Windows, Mac и Linux, в которой исправила в общей сложности 14 проблем безопасности, в том числе уязвимость нулевого дня CVE-2021-30551

Новая версия Chrome уже стала поставляться пользователям по всему миру, и в ближайшее время станет доступна абсолютно всем.

Chrome попытается автоматически установить новую версию при запуске браузера, но вы можете выполнить ручную проверку, перейдя в Меню > Справка > О браузере Google Chrome.

Скачать Google Chrome 91

В 2021 году в Chrome исправлено 6 уязвимостей нулевого дня

В настоящее время доступно мало подробностей об исправленной уязвимости. Известно, что это уязвимость типа «type confusion» в движке Javascript V8.

Уязвимость была обнаружена участником проекта Google Project Zero Сергеем Глазуновым, и ей были присвоен идентификатор CVE-2021-30551.

Google заявляет, что компании известно о «реально существующем эксплойте для CVE-2021-30551».

Шейн Хантли (Shane Huntley), руководитель группы анализа угроз Google, говорит, что эта уязвимость использовалась теми же злоумышленниками, которые эксплуатировали CVE-2021-33742 в Windows, исправленную Microsoft пару дней назад во «Вторник Патчей».

Google также обновил информацию по исправленным уязвимостям нулевого дня в Chrome в 2021 году. Кроме CVE-2021-30551, в списке значатся:

  • CVE-2021-21148 – 4 февраля 2021 г.
  • CVE-2021-21166 – 2 марта 2021 г.
  • CVE-2021-21193 – 12 марта 2021 г.
  • CVE-2021-21220 – 13 апреля 2021 г.
  • CVE-2021-21224 – 20 апреля 2021 г.

Также накануне появилась информация о группе злоумышленников Puzzlemaker, которая использует цепочку уязвимостей Google Chrome, чтобы обойти изолированную среду браузера и установить вредоносное ПО в Windows.

Исследователи отмечают:

После того, как злоумышленники использовали эксплойты для Chrome и Windows для закрепления в целевой системе, модуль stager загружает с удаленного сервера и запускает более сложный дроппер вредоносного ПО.

Во «Вторник патчей», 8 июня, компания Microsoft устранила уязвимости в Windows, но «Лаборатория Касперского» не смогла определить, какие уязвимости Chrome использовались в атаках группировки Puzzlemaker. Считается, что они могли использовать CVE-2021-21224 в Chrome, но не исключается, что группой применялись еще нераскрытые уязвимости нулевого дня в Chrome.

Обновления программ, что нового

Обновления Java SE: Доступны версии 24.0.2, 21.0.8 LTS, 17.0.16 LTS, 11.0.28 LTS и 8 (8u461) (LTS)
Релиз VirtualBox 7.1.12: Исправления для Windows и Linux, улучшенная поддержка AVX
Приложение Comss DNS & Новости для Android: обновления сайта и доступ к ИИ-сервисам
Официально: Google объединит ChromeOS и Android в одну платформу
Релиз Floorp Browser 12: новый интерфейс, плавающая боковая панель и переход на Firefox Rapid Release
Silicon Motion представила контроллер SSD PCIe Gen6: скорость до 28 ГБ/с

© . По материалам Bleeping Computer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×