使用しているGoogleChromeのバージョンを最近確認していない場合, あなたは間違いなくチェックする必要があります. Googleは最近、ブラウザで積極的に悪用されている別のゼロデイ脆弱性に対処しました, CVE-2021-21193.
Googleがこのようなアップデートを1か月以内にリリースするのはこれが2回目です. 実際には, アップデートは5つの修正で構成されていることに注意してください.
安全を確保する, Chromeバージョンを実行している必要があります 89.0.4389.90 Windows用, マック, およびLinuxオペレーティングシステム.
CVE-2021-21193の詳細
このゼロデイは、「Blinkでの無料使用後の使用」と説明されています。外部の研究者から報告されました.
Googleは、最新のChrome安定版リリースで修正されたバグに関する多くの情報を提供していません. でも, 同社は、ゼロデイが野生で悪用されているという報告があると述べています.
脆弱性の3つは 外部の研究者による報告, バグバウンティが支払われた:
[$500][1167357] 高CVE-2021-21191: WebRTCで無料で使用. レイヴンによる報告 (@raid_akame) の上 2021-01-15
[$未定][1181387] 高CVE-2021-21192: タブグループのヒープバッファオーバーフロー. AbdulrahmanAlqabandiによる報告, Microsoftブラウザの脆弱性に関する調査 2021-02-23
[$未定][1186287] 高CVE-2021-21193: Blinkで無料で使用. 匿名による報告 2021-03-09
約1カ月前, Googleは、以前のGoogleChromeのV8でのヒープバッファオーバーフローを修正しました 88.0.4324.150. この脆弱性により、リモートの攻撃者は、細工されたHTMLページを介してヒープの破損を悪用する可能性がありました。.
Googleは脆弱性に対する新しいセキュリティ機能を含める
プラス面, MicrosoftEdgeとGoogleChromeの新しいセキュリティの改善がまもなくブラウザに追加されます. 両方のChrommiumベースのブラウザは、脆弱性から保護することを目的としたIntelが提供する新しいセキュリティ機能をサポートします。.
CETと呼ばれる, または制御フロー施行技術, この機能は、で最初に導入されたハードウェアコンポーネントに基づいています。 2016 昨年、Intelの第11世代CPUに追加されました. その目的は、プログラムをReturnOrientedProgrammingから保護することです。 (ROP) ジャンプ指向プログラミング (JOP) 攻撃.
ブラウザのセキュリティに関して, ROPおよびJOP攻撃には、ブラウザのサンドボックスのバイパスまたはリモートコード実行の実行が含まれます. Intelが提供するCET機能は、自然な流れが変更されたときに例外を有効にすることで、これらの試行をブロックします.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: