Google исправил 6 активно эксплуатируемых уязвимостей нулевого дня в Chrome в этом году

2021-06-10 4085 комментарии
Компания Google выпустила новую версию Chrome 91.0.4472.101 для Windows, Mac и Linux, в которой исправила в общей сложности 14 проблем безопасности, в том числе уязвимость нулевого дня CVE-2021-30551

Новая версия Chrome уже стала поставляться пользователям по всему миру, и в ближайшее время станет доступна абсолютно всем.

Chrome попытается автоматически установить новую версию при запуске браузера, но вы можете выполнить ручную проверку, перейдя в Меню > Справка > О браузере Google Chrome.

Скачать Google Chrome 91

В 2021 году в Chrome исправлено 6 уязвимостей нулевого дня

В настоящее время доступно мало подробностей об исправленной уязвимости. Известно, что это уязвимость типа «type confusion» в движке Javascript V8.

Уязвимость была обнаружена участником проекта Google Project Zero Сергеем Глазуновым, и ей были присвоен идентификатор CVE-2021-30551.

Google заявляет, что компании известно о «реально существующем эксплойте для CVE-2021-30551».

Шейн Хантли (Shane Huntley), руководитель группы анализа угроз Google, говорит, что эта уязвимость использовалась теми же злоумышленниками, которые эксплуатировали CVE-2021-33742 в Windows, исправленную Microsoft пару дней назад во «Вторник Патчей».

Google также обновил информацию по исправленным уязвимостям нулевого дня в Chrome в 2021 году. Кроме CVE-2021-30551, в списке значатся:

  • CVE-2021-21148 – 4 февраля 2021 г.
  • CVE-2021-21166 – 2 марта 2021 г.
  • CVE-2021-21193 – 12 марта 2021 г.
  • CVE-2021-21220 – 13 апреля 2021 г.
  • CVE-2021-21224 – 20 апреля 2021 г.

Также накануне появилась информация о группе злоумышленников Puzzlemaker, которая использует цепочку уязвимостей Google Chrome, чтобы обойти изолированную среду браузера и установить вредоносное ПО в Windows.

Исследователи отмечают:

После того, как злоумышленники использовали эксплойты для Chrome и Windows для закрепления в целевой системе, модуль stager загружает с удаленного сервера и запускает более сложный дроппер вредоносного ПО.

Во «Вторник патчей», 8 июня, компания Microsoft устранила уязвимости в Windows, но «Лаборатория Касперского» не смогла определить, какие уязвимости Chrome использовались в атаках группировки Puzzlemaker. Считается, что они могли использовать CVE-2021-21224 в Chrome, но не исключается, что группой применялись еще нераскрытые уязвимости нулевого дня в Chrome.

Обновления программ, что нового

На Госуслугах заработает сервис «Сим-карты» для отказа от ненужных номеров
Обновление HWiNFO 8.24: Поддержка NVIDIA GeForce RTX 5060 Ti
Broadcom сломала автообновление VMware Workstation
Apple выпустила iOS 18.4: приоритетные уведомления, Ambient Music, новые эмодзи и обновления для Vision Pro
Сбой в работе Интернета в России: Снова проблема с CloudFlare и другими облачными службами
Релиз Firefox 137. Что нового

© . По материалам Bleeping Computer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×