Ist Ihr Chrome-Browser auf dem neuesten Stand?? Google hat gerade Korrekturen für . veröffentlicht 11 Sicherheitslücken, zwei davon werden in freier Wildbahn aktiv ausgebeutet. Alle 11 Sicherheitslücken sind hochgefährlich.
Um zu verhindern, dass Ihr Browser von Hackern ausgenutzt wird, Sie sollten das Update sofort anwenden.
Die beiden aktiv ausgenutzten Fehler sind Zero-Days, die als CVE-2021-30632 und CVE-2021-30633 identifiziert wurden.
CVE-2021-30632 und CVE-2021-30633 Zero-Days in Chrome
Nicht überraschend, die Schwachstellen liegen in der V8-JavaScript-Engine. CVE-2021-30632 ist ein außerhalb der Grenzen liegendes Schreiben in der Engine, in der Erwägung, dass CVE-2021-30633 eine Verwendung nach frei in der Indexed DB API ist. Beide Mängel wurden von einer anonymen Partei gemeldet.
Hier ist, die Liste von allen 11 Sicherheitsprobleme behoben in 93.0.4577.82 für Windows, Mac und Linux, die in den kommenden Tagen eingeführt werden:
[$7500][1237533] Hoher CVE-2021-30625: Verwenden Sie nach der kostenlosen Auswahl-API. Gemeldet von Marcin Towalski von Cisco Talos am 2021-08-06
[$7500][1241036] Hoher CVE-2021-30626: Außerhalb der Grenzen des Speicherzugriffs in ANGLE. Gemeldet von Jeonghoon Shin von Theori am 2021-08-18
[$5000][1245786] Hoher CVE-2021-30627: Typverwirrung im Blink-Layout. Gemeldet von Aki Helin von OUSPG am 2021-09-01
[$TBD][1241123] Hoher CVE-2021-30628: Stapelpufferüberlauf in ANGLE. Gemeldet von Jaehun Jeong(@n3sk) von Theori on 2021-08-18
[$TBD][1243646] Hoher CVE-2021-30629: Verwenden Sie nach frei in Berechtigungen. Gemeldet von Weipeng Jiang (@Krace) vom Codesafe Team of Legendsec bei der Qi’anxin Group auf 2021-08-26
[$TBD][1244568] Hoher CVE-2021-30630: Unangemessene Implementierung in Blink . Gemeldet von SorryMybad (@ S0rryMybad) von Kunlun Lab auf 2021-08-30
[$TBD][1246932] Hoher CVE-2021-30631: Typverwirrung im Blink-Layout. Gemeldet von Atte Kettunen von OUSPG am 2021-09-06
[$TBD][1247763] Hoher CVE-2021-30632: Außerhalb der Grenzen schreiben in V8. Berichten von Anonymous auf 2021-09-08
[$TBD][1247766] Hoher CVE-2021-30633: Verwenden Sie nach kostenlos in Indexed DB API. Berichten von Anonymous auf 2021-09-08
Früher in diesem Jahr, Der indische Sicherheitsforscher Rajvardhan Agarwal veröffentlichte einen Proof-of-Concept-Code für eine weitere V8-JavaScript-Engine-Schwachstelle Auswirkungen auf Google Chrome, Microsoft Edge-, Mutig, und Opera (alles auf Chrombasis).
Die Schwachstelle ist höchstwahrscheinlich der gleiche Fehler, was während Pwn2Own . demonstriert wurde 2021 von den Forschern von Dataflow Security, Bruno Keith und Niklas Baumstark. Die beiden Forscher haben gewonnen $100,000 aus dem Hacking-Wettbewerb für die erfolgreiche Ausnutzung der Sicherheitsanfälligkeit zum Ausführen von Schadcode in Chrome- und Edge-Browsern.