Mobilné Správy, Gadgety, Blogy's Secenziami

Aktualizujte svoj prehliadač Chrome na opravu 2 Novinka In-the-Wild 0- Day Exploits

Aktualizujte svoj prehliadač Chrome na opravu 2 Novinka In-the-Wild 0- Day Exploits 1

Spoločnosť Google v utorok vydala novú verziu softvéru Chrome na prehliadanie webu pre Windows, Mac a Linux so záplatami pre dve novoobjavené bezpečnostné chyby, z ktorých obe podľa nej existujú vo voľnej prírode, čo umožňuje útočníkom aktívne využívať.

Jeden z dvoch nedostatkov sa týka nedostatočného overenia nedôveryhodného vstupu v jeho vykresľovacom jadre JavaScript V8 (CVE-2021-21220), čo minulý týždeň demonštrovali Bruno Keith a Niklas Baumstark z Dataflow Security na hackerskej súťaži Pwn2Own 2021.

Zatiaľ čo Google sa snažil chybu rýchlo opraviť, bezpečnostný výskumník Rajvardhan Agarwal cez víkend zverejnil pracovný exploit reverzným inžinierstvom opravy, ktorú tím Chromium vložil do open-source komponentu, faktor, ktorý mohol zohrať kľúčovú úlohu pri vydaní. .

AKTUALIZÁCIA: Agarwal v e-maile pre The Hacker News potvrdil, že existuje ešte jedna zraniteľnosť ovplyvňujúca prehliadače založené na prehliadači Chromium, ktorá bola opravená v najnovšej verzii V8, ale nebola zahrnutá do vydania Chrome, ktoré sa dnes uvádza na trh, a preto sú používatelia potenciálne zraniteľní. k útokom aj po inštalácii novej aktualizácie.

„Aj keď sú obe chyby svojou povahou odlišné, možno ich využiť na získanie RCE v procese vykresľovania,“ povedal Agarwal pre The Hacker News prostredníctvom e-mailu. “Mám podozrenie, že prvá oprava bola vydaná s aktualizáciou Chrome kvôli zverejnenému exploitu, ale keďže druhá oprava nebola aplikovaná na Chrome, stále sa dá zneužiť.”

Spoločnosť tiež vyriešila chybu zabezpečenia bez použitia po použití v motore prehliadača Blink (CVE-2021-21206). Anonymnému výskumníkovi sa pripisuje nahlásenie chyby v apríli 7.

„Google vie o správach, že zneužitia CVE-2021-21206 a CVE-2021-21220 existujú vo voľnej prírode,“ poznamenal technický programový manažér Chrome Prudhvikumar Bommana v blogovom príspevku.

Stojí za zmienku, že existencia exploitu nie je dôkazom aktívneho využívania aktérmi hrozby. Od začiatku roka Google opravil tri nedostatky v prehliadači Chrome, ktoré boli napadnuté, vrátane CVE-2021-21148, CVE-2021-21166 a CVE-2021-21193.

Chrome 89.0Očakáva sa, že .4389.128 bude spustený v najbližších dňoch. Používatelia môžu aktualizovať na najnovšiu verziu tak, že prejdú do časti Nastavenia > Pomocník > O prehliadači Google Chrome, aby sa znížilo riziko spojené s chybami.