Googleは、7つの脆弱性を修正する広範なChromeアップデートをリリースしました, そのうちの1つはゼロデイです.
ゼロデイはCVE-2021-21224として追跡されます, そしてそれに対するエクスプロイトは野生に存在します. 最新バージョンのGoogleChromeを実行しているかどうかを確認する必要があります.
「Stableチャンネルはに更新されました 90.0.4430.85 Windows用, 今後数日/数週間で展開されるMacとLinux,」と会社は言った ブログ投稿.
CVE-2021-21224ゼロデイの詳細
セキュリティ研究者のLeiCaoによると, この脆弱性は、整数データ型変換を実行することによって引き起こされます. これにより、任意のメモリの読み取り/書き込みプリミティブが発生する可能性のある範囲外の条件が作成されます.
「Googleは、CVE-2021-21224のエクスプロイトが実際に存在するという報告を認識しています。,」と同社は付け加えた. この脆弱性の概念実証コードは、4月中旬にfrustとして知られる研究者によってリリースされました。, V8ソースコードの修正後. パッチはChromiumコードベースに追加されませんでした, ChromiumベースのブラウザをChromeにする, 角, Vivaldi, オペラ, と勇敢な脆弱性.
これらのアップデートは、Googleが他の2つの脆弱性に対するパッチをリリースした直後に提供されます, CVE-2021-21206およびCVE-2021-21220. 2番目の脆弱性 Pwn2Own中にデモンストレーションされました 2021 今月初め、DataflowSecurityの研究者であるBrunoKeithとNiklasBaumstarkによる. 2人の研究者が勝ちました $100,000 ChromeおよびEdgeブラウザ内で悪意のあるコードを実行するために脆弱性を悪用することに成功したハッキングコンテストから.