Wenn Sie kürzlich nicht überprüft haben, welche Version von Google Chrome Sie verwenden, Sie sollten auf jeden Fall überprüfen. Google hat kürzlich eine weitere aktiv ausgenutzte Zero-Day-Sicherheitsanfälligkeit in seinem Browser behoben, CVE-2021-21193.
Dies ist das zweite Mal, dass Google ein solches Update innerhalb eines Monats veröffentlicht. Tatsächlich, Es ist zu beachten, dass das Update aus fünf Fixes besteht.
Um sicher zu sein, Sie sollten die Chrome-Version ausführen 89.0.4389.90 für Windows, Mac, und Linux-Betriebssysteme.
Weitere Informationen zu CVE-2021-21193
Dieser Zero-Day wird als "Verwenden Sie nach dem freien in Blink" beschrieben. Es wurde von einem externen Forscher berichtet.
Google hat nicht viele Informationen zu den Fehlern bereitgestellt, die mit der neuesten stabilen Chrome-Version behoben wurden. Jedoch, Das Unternehmen hat berichtet, dass es Berichte über die Ausbeutung des Zero-Day in freier Wildbahn gibt.
Drei der Sicherheitslücken waren von externen Forschern berichtet, mit Bug Bounties ausgezahlt:
[$500][1167357] Hoher CVE-2021-21191: Verwenden Sie nach kostenlos in WebRTC. Berichtet von Rabe (@raid_akame) auf 2021-01-15
[$TBD][1181387] Hoher CVE-2021-21192: Heap-Pufferüberlauf in Registerkartengruppen. Berichtet von Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research auf 2021-02-23
[$TBD][1186287] Hoher CVE-2021-21193: Verwenden Sie nach freien in Blink. Berichten von Anonymous auf 2021-03-09
Vor ungefähr einem Monat, Google hat zuvor einen Heap-Pufferüberlauf in V8 in Google Chrome behoben 88.0.4324.150. Die Sicherheitsanfälligkeit ermöglichte es einem Angreifer aus der Ferne, die Heap-Beschädigung möglicherweise über eine gestaltete HTML-Seite auszunutzen.
Google soll eine neue Sicherheitsfunktion gegen Sicherheitslücken einbinden
Positiv ist, dass, Eine neue Sicherheitsverbesserung von Microsoft Edge und Google Chrome wird den Browsern in Kürze hinzugefügt. Beide Chrommium-basierten Browser unterstützen eine neue Sicherheitsfunktion von Intel, deren Zweck der Schutz vor Sicherheitslücken ist.
MEZ genannt, oder Control-Flow-Enforcement-Technologie, Die Funktion basiert auf einer Hardwarekomponente, die erstmals in eingeführt wurde 2016 und im letzten Jahr zu den CPUs der 11. Generation von Intel hinzugefügt. Ihr Zweck ist es, Programme vor rückkehrorientierter Programmierung zu schützen (ROP) und sprungorientierte Programmierung (JOP) Anschläge.
In Bezug auf die Browsersicherheit, ROP- und JOP-Angriffe umfassen das Umgehen der Sandbox des Browsers oder das Ausführen der Remotecodeausführung. Die von Intel bereitgestellte CET-Funktion blockiert diese Versuche, indem Ausnahmen aktiviert werden, wenn der natürliche Fluss geändert wird.