Google публикува Chrome 95.0.4638.69 за Windows, Mac и Linux, за да поправи две уязвимости от zero-days, които нападателите са използвали активно.
От Google са наясно, че експлойтите за CVE-2021-38000 и CVE-2021-38003 съществуват свободно в интернет пространството. Това става ясно от списъка с корекции на сигурността, в най-новата версия на Google Chrome.
Актуализацията вече е започнала да се прилага с Chrome 95.0.4638.69 от потребители по целия свят.
За да инсталирате незабавно актуализацията на Chrome, отидете в менюто на Chrome > Помощ > Всичко за Google Chrome и браузърът ще започне да извършва актуализацията.
Google Chrome също ще провери за налични актуализации и ще ги инсталира следващия път, когато стартирате уеб браузъра.
Подробности за атаките с zero-days не се разкриват.
Тази версия на Chrome редактира общо седем уязвимости, като две са zero-days, за които е известно, че са били експлоатирани, свободно в интернет пространството.
Първият zero-day, проследен като CVE-2021-38000, е описан като „Недостатъчно валидиране на ненадеждни входове в намеренията“ и му е отредено високо ниво на сериозност. Тази уязвимост е открита от Клемент Лесин, Нийл Мехта и Мади Стоун от Google Threat Analysis Group на 15 септември 2021 г.
Вторият zero-day, проследяван като CVE-2021-38003, е грешка с висока степен на сериозност „Неподходящо внедряване“ в двигателя на Chrome V8 JavaScript. Тази уязвимост беше открита и от Lecigne и докладвана на 24 октомври.
Понастоящем Google или изследователите по сигурността не са предоставили повече подробности относно това как участниците в заплахата са използвали уязвимостите при атаки. Относно откритите уязвимости на Google, може да се разбере повече в бъдещи доклади от Google TAG или Project Zero.
Тъй като тези две уязвимости са били използвани при атаки, се препоръчва всички потребители на Chrome да извършат ръчна надстройка или да рестартират браузъра си, за да инсталират най-новата версия.
Петнадесетият zero-day е установен тази година.
С тези корекции Google поправи общо 15 уязвимости с zero-day в Chrome от началото на 2021 г.
Другите тринадесет zero-days, закърпени тази година, са:
- CVE-2021-21148 – 4 февруари 2021 г.
- CVE-2021-21166 – 2 март 2021 г.
- CVE-2021-21193 – 12 март 2021 г.
- CVE-2021-21220 – 13 април 2021 г.
- CVE-2021-21224 – 20 април 2021 г.
- CVE-2021-30551 – 9 юни 2021 г.
- CVE-2021-30554 – 17 юни 2021 г.
- CVE-2021-30563 – 15 юли 2021 г.
- CVE-2021-30632 and CVE-2021-30633 – 13 септември 2021 г.
- CVE-2021-37973 – 24 септември 2021 г.
- CVE-2021-37976 and CVE-2021-37975 – 30 септември 2021 г.
Повече информация, може да намерите на следния интернет адрес: