Se non hai verificato di recente quale versione di Google Chrome stai utilizzando, dovresti assolutamente controllare. Google ha recentemente affrontato un'altra vulnerabilità zero-day sfruttata attivamente nel suo browser, CVE-2021-21193.
Questa è la seconda volta che Google rilascia un aggiornamento del genere entro un mese. Infatti, va notato che l'aggiornamento consiste in cinque correzioni.
Per essere al sicuro, dovresti eseguire la versione di Chrome 89.0.4389.90 per Windows, Mac, e sistemi operativi Linux.
Ulteriori informazioni su CVE-2021-21193
Questo zero-day è descritto come "Utilizzare dopo la versione gratuita in Blink". È stato segnalato da un ricercatore esterno.
Google non ha fornito molte informazioni sui bug risolti con l'ultima versione stabile di Chrome. Tuttavia, la società ha affermato che ci sono rapporti sullo sfruttamento dello zero-day in natura.
Tre delle vulnerabilità erano segnalato da ricercatori esterni, con ricompense per insetti pagate:
[$500][1167357] CVE alto-2021-21191: Utilizzare dopo gratuito in WebRTC. Segnalato da Raven (@raid_akame) su 2021-01-15
[$TBD][1181387] CVE alto-2021-21192: Overflow del buffer di heap nei gruppi di schede. Segnalato da Abdulrahman Alqabandi, Microsoft Vulnerability Research on Browser 2021-02-23
[$TBD][1186287] CVE alto-2021-21193: Utilizzare dopo gratis in Blink. Segnalato da Anonimo su 2021-03-09
Circa un mese fa, Google ha corretto un overflow del buffer di heap in V8 in Google Chrome prima di 88.0.4324.150. La vulnerabilità consentiva a un utente malintenzionato remoto di sfruttare potenzialmente il danneggiamento dell'heap tramite una pagina HTML predisposta.
Google includerà una nuova funzionalità di sicurezza contro le vulnerabilità
Sul lato positivo, presto verrà aggiunto ai browser un nuovo miglioramento della sicurezza di Microsoft Edge e Google Chrome. Entrambi i browser basati su Chrommium supporteranno una nuova funzionalità di sicurezza fornita da Intel il cui scopo è proteggere dalle vulnerabilità.
Chiamato CET, o tecnologia di applicazione del flusso di controllo, la funzionalità si basa su un componente hardware introdotto per la prima volta in 2016 e aggiunto alle CPU di 11a generazione di Intel lo scorso anno. Il suo scopo è proteggere i programmi dalla programmazione orientata al ritorno (ROP) e programmazione Jump Oriented (JOP) attacchi.
In termini di sicurezza del browser, Gli attacchi ROP e JOP includono il bypass della sandbox del browser o l'esecuzione di codice in modalità remota. La funzionalità CET fornita da Intel bloccherà questi tentativi abilitando le eccezioni quando il flusso naturale viene alterato.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: