Is uw Chrome-browser up-to-date? Google heeft zojuist fixes uitgebracht voor 11 beveiligingsproblemen, waarvan er twee actief worden uitgebuit in het wild. Alle 11 kwetsbaarheden zijn zeer gevaarlijk.
Om te voorkomen dat uw browser wordt misbruikt door hackers, je moet de update onmiddellijk toepassen.
De twee actief misbruikte fouten zijn zero-days geïdentificeerd als CVE-2021-30632 en CVE-2021-30633.
CVE-2021-30632 en CVE-2021-30633 Zero-Days in Chrome
Niet verrassend, de kwetsbaarheden bevinden zich in de V8 JavaScript-engine. CVE-2021-30632 is een schrijven buiten de grenzen in de engine, terwijl CVE-2021-30633 een gebruik is na gratis in Indexed DB API. Beide gebreken zijn gemeld door een anonieme partij.
Hier is de lijst van alle 11 beveiligingsproblemen opgelost in 93.0.4577.82 voor Windows, Mac en Linux die de komende dagen worden uitgerold:
[$7500][1237533] Hoge CVE-2021-30625: Gebruik daarna gratis in Selection API. Gerapporteerd door Marcin Towalski van Cisco Talos op 2021-08-06
[$7500][1241036] Hoge CVE-2021-30626: Out-of-bounds geheugentoegang in ANGLE. Gerapporteerd door Jeonghoon Shin van Theori op 2021-08-18
[$5000][1245786] Hoge CVE-2021-30627: Typ Verwarring in Blink-indeling. Gerapporteerd door Aki Helin van OUSPG op 2021-09-01
[$Nader te bepalen][1241123] Hoge CVE-2021-30628: Stapelbufferoverloop in ANGLE. Gerapporteerd door Jaehun Jeong(@n3sk) van Theori op 2021-08-18
[$Nader te bepalen][1243646] Hoge CVE-2021-30629: Gebruik daarna gratis in Machtigingen. Gerapporteerd door Weipeng Jiang (@Krace) van Codesafe Team of Legendsec bij Qi'anxin Group op 2021-08-26
[$Nader te bepalen][1244568] Hoge CVE-2021-30630: Ongepaste implementatie in Blink . Gemeld door SorryMybad (@ S0rryMybad) van Kunlun Lab op 2021-08-30
[$Nader te bepalen][1246932] Hoge CVE-2021-30631: Typ Verwarring in Blink-indeling. Gerapporteerd door Atte Kettunen van OUSPG op 2021-09-06
[$Nader te bepalen][1247763] Hoge CVE-2021-30632: Buiten de grenzen schrijven in V8. Gemeld door Anoniem op 2021-09-08
[$Nader te bepalen][1247766] Hoge CVE-2021-30633: Gebruik daarna gratis in Indexed DB API. Gemeld door Anoniem op 2021-09-08
Eerder dit jaar, Indiase beveiligingsonderzoeker Rajvardhan Agarwal publiceerde een proof-of-concept-code voor: nog een V8 JavaScript-engine-kwetsbaarheid invloed Google Chrome, Microsoft Edge, dapper, en Opera (allemaal op Chromium gebaseerd).
De kwetsbaarheid is hoogstwaarschijnlijk dezelfde fout, die werd gedemonstreerd tijdens Pwn2Own 2021 door de onderzoekers Bruno Keith en Niklas Baumstark van Dataflow Security. De twee onderzoekers wonnen $100,000 van de hackwedstrijd voor het succesvol misbruiken van de kwetsbaarheid om schadelijke code uit te voeren in Chrome- en Edge-browsers.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: