Η Google κυκλοφόρησε το Chrome 91.0.4472.114 για Windows, Mac και Linux για τη διόρθωση τεσσάρων ευπαθειών, εκ των οποίων η μια είναι μια σοβαρή zero-day ευπάθεια, που έχει ήδη αρχίσει να χρησιμοποιείται σε επιθέσεις.
Δείτε επίσης: Google Chrome: Διορθώνει αυτόματα τα παραβιασμένα passwords σε Android
Αυτή η έκδοση, κυκλοφόρησε χθες, 17 Ιουνίου 2021, στο Stable desktop channel και θα είναι διαθέσιμη σε όλους τους χρήστες τις επόμενες ημέρες.
Η αναβάθμιση του Chrome browser πιθανότατα θα γίνει αυτόματα, αλλά μπορείτε να πραγματοποιήσετε και μια μη αυτόματη ενημέρωση μεταβαίνοντας στις Ρυθμίσεις> Βοήθεια> “Σχετικά με το Google Chrome”.
Chrome browser: Νέα zero-day ευπάθεια
“Η Google γνωρίζει ότι υπάρχει ένα exploit για την ευπάθεια CVE-2021-30554“, αναφέρει η εταιρεία σε ανακοίνωσή της.
Η zero-day ευπάθεια προκαλείται από ένα “use after free” θέμα στο WebGL (Web Graphics Library) JavaScript API, που χρησιμοποιείται από τον Chrome web browser για rendering interactive 2D και 3D graphics χωρίς τη χρήση plug-ins.
Η εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να οδηγήσει σε εκτέλεση κώδικα σε υπολογιστές που τρέχουν μη ενημερωμένες εκδόσεις του Google Chrome browser.
Αν και η Google λέει ότι γνωρίζει ότι η ευπάθεια CVE-2021-30554 έχει χρησιμοποιηθεί, δεν έχει δώσει πληροφορίες σχετικά με αυτές τις επιθέσεις.
Δείτε επίσης: Google Workspace: Έρχεται με client-side encryption και λειτουργίες ασφαλείας
“Η πρόσβαση σε λεπτομέρειες του σφάλματος και συνδέσμους ενδέχεται να παραμείνει περιορισμένη έως ότου γίνει ενημέρωση από την πλειονότητα των χρηστών“, δήλωσε η εταιρεία.
Η Google διόρθωσε τρία ακόμη “use after free” bugs που εντοπίστηκαν στα Sharing, WebAudio και TabGroups components του Chrome (CVE-2021-30555, CVE-2021-30556 και CVE-2021-30557).
Η έβδομη Chrome zero-day ευπάθεια που διορθώνει η Google φέτος
Η χθεσινή ενημέρωση που κυκλοφόρησε η Google διορθώνει την έβδομη Chrome zero-day ευπάθεια για φέτος. Οι υπόλοιπες έξι είναι οι εξής:
- CVE-2021-21148 – 4 Φεβρουαρίου 2021
- CVE-2021-21166 – 2 Μαρτίου 2021
- CVE-2021-21193 – 12 Μαρτίου 2021
- CVE-2021-21220 – 13 Απριλίου 2021
- CVE-2021-21224 – 20 Απριλίου 2021
- CVE-2021-30551 – 9 Ιουνίου 2021
Δείτε επίσης: Κυκλοφορεί νέα έκδοση του Chrome – Διορθώνει 14 ευπάθειες ασφαλείας!
Στο μεταξύ, η Kaspersky ανέφερε ότι μια hacking ομάδα, γνωστή ως Puzzlemaker συνδυάζει zero-day σφάλματα Chrome με άλλες ευπάθειες για να ξεφύγει από το sandbox του browser και να εγκαταστήσει κακόβουλο λογισμικό σε συστήματα Windows.
Η Project Zero, η ομάδα εντοπισμού zero-day σφαλμάτων της Google, αποκάλυψε επίσης μια μεγάλη εκστρατεία, στην οποία οι hackers χρησιμοποίησαν 11 zero-days για να επιτεθούν σε χρήστες Windows, iOS και Android.
Πηγή: Bleeping Computer