Har du patchet din Chrome-browser? Google fik netop rettet en alvorlig sårbarhed i sin browser, stammer fra et type forvirringsproblem i dets V8 open source-motor. Spores som CVE-2021-30551, sårbarheden blev opdaget af Sergei Glazunov fra Google Project Zero.
Google løser CVE-2021-30551 og flere andre alvorlige fejl i Chrome
Ud over denne sårbarhed, fast i Windows, MacOS, og Linux, virksomheden adresserede adskillige andre fejl: CVE-2021-30544, CVE-2021-30545, CVE-2021-30546, CVE-2021-30547, CVE-2021-30548, CVE-2021-30549, CVE-2021-30550. CVE-2021-30551, især, er blevet brugt til aktiv udnyttelse i naturen, så lappning af din Chrome-browser skal være en topprioritet.
Shane Huntley, Direktør for Googles trusselsanalysegruppe sagde, at CVE-2021-30551-sårbarheden blev udnyttet af den samme trusselsaktør, der udnyttede CVE-2021-33742. Sidstnævnte er en aktivt udnyttet fjernudførelsesfejl for kode i Windows MSHTML-platformen, for nylig adresseret af Microsoft i sin Patch tirsdag opdatering i juni 8. CVE-2021-33742 er en sårbarhed i Windows MSHTML Platform Remote Code Execution, hvilket er et kritisk problem med en CVSS 7.5 bedømmelse.
Ifølge sikkerhedseksperter, det ser ud til, at de to nul-dages sårbarheder er leveret af en kommerciel udnyttelsesmægler til en nationalstatens aktør. Sidstnævnte brugte nul-dage i begrænsede angreb mod mål i Østeuropa og Mellemøsten. Vi forventer mere tekniske oplysninger om arten af angrebene, der frigives i de kommende uger, hvilket giver brugerne tid til at opdatere og forhindre deres systemer.
I april, Google fik endnu en nul-dag i sin populære browser. Spores som CVE-2021-21224, sårbarheden havde udnyttelser for det i naturen. Ifølge sikkerhedsforsker Lei Cao, sårbarheden udløses ved at udføre heltal datatypekonvertering. Dette skaber en tilstand uden for grænserne, der kan medføre, at vilkårlig hukommelse læser / skriver primitiv.
Du skal kontrollere, om du kører den nyeste version af Google Chrome. "Den stabile kanal er blevet opdateret til 91.0.4472.101 til Windows, Mac og Linux, der udrules i løbet af de kommende dage / uger,”Sagde Google i sin blogindlæg.
Kritisk problem med CVSS 7.5?