Компания Google исправила еще одну активно эксплуатируемую уязвимость нулевого дня в браузере Chrome. Отметим, что это второй подобный патч в течение месяца.
Производитель браузера в пятницу выпустил версию 89.0.4389.90 для Windows, Mac и Linux, которая, как ожидается, будет распространяться в ближайшие дни/недели на всех пользователей.
Хотя патч содержит в общей сложности пять исправлений безопасности, наиболее важный исправленный Google баг касается использования уязвимости «use after free» в движке рендеринга Blink. Данная ошибка отслеживается как CVE-2021-21193.
Подробности о дефекте скудные, за исключением того, что о нем сообщил Google анонимный исследователь 9 марта.
Как обычно бывает с активно эксплуатируемыми уязвимостями, Google выпустила краткое заявление, признающее, что эксплойт для CVE-2021-21193 существовал, но воздержалась от предоставления дополнительной информацией до тех пор, пока большинство пользователей не обновится и, тем самым, не предотвратит создание эксплойтов нацеленных на этот 0-day новыми злоумышленниками.
«Google известно о сообщениях, что эксплойт для CVE-2021-21193 активно используется» - отметил в посте блога менеджер технической программы Chrome Прудикумар Боммана.
Всего на текущий момент компания Google исправила три 0-day уязвимости в Chrome с начала года.
Ранее в этом месяце компания выпустила исправление для «проблемы жизненного цикла аудио- объектов» (CVE-2021-21166), которая, как сообщается, также активно эксплуатировалась хакерами. Затем 4 февраля вышел патч для еще одного бага переполнения буфера динамической памяти (CVE-2021-21148) в движке рендеринга V8 JavaScript.
Пользователи Chrome могут обновиться до последней версии, перейдя в "Настройки" > "Справка" > "О Google Chrome", чтобы избавиться от связанных со свежими уязвимостями рисков.
Перевод сделан со статьи: https://thehackernews.com