Google retter to nye nul-dages fejl i Chrome

Google rettede lige to yderligere nul-dages sårbarheder en ny opdatering til den normale, stabile udgivelse af deres Chrome-browser. Bedrifterne er blevet udnyttet i naturen, ligesom de tidligere par sårbarheder, som virksomheden fik rettet i browseren.

Det nye versionsnummer for den seneste fejlrettelse af Chrome -platformen, som frigivet på den stabile versionskanal, er 94.0.4606.71. Opdateringen er tilgængelig på alle større desktop -platforme, der kører Chrome, herunder Windows, Linux og Mac.

Google offentliggjorde også en officiel erklæring, der informerede offentligheden om, at udviklingsteamet er klar over, at de to senest patched sårbarheder allerede er blevet udnyttet i naturen. CVE-betegnelserne for de to fejl er henholdsvis CVE-2021-37975 og CVE-2021-37976. Rettelser til begge var inkluderet i 4606,71 patchudgivelsen.

Der er ingen komplette oplysninger omkring detaljerne ved de to sårbarheder, da Google ønsker at sikre, at alle har modtaget opdateringen via Chrome's automatiske opdaterer. Den officielle erklæring fra Google understregede, at "adgang til fejloplysninger og links kan blive begrænset", indtil patchen er blevet fuldstændigt implementeret på verdensplan.

I skrivende stund har vores system allerede modtaget opdateringen, så det er sikkert at antage, at det vil blive rullet ud og tilgængeligt for alle inden for et par timer i værste fald.

Det, man ved om de to sårbarheder, er, at CVE-2021-37976 er klassificeret som en fejl af medium sværhedsgrad i henhold til CVE-standarder og involverer en "informationslækage i kernen". Den anden sårbarhed beskrives som en fejl i browserens V8 JS -motor. I modsætning til 37976 -sårbarheden er JavaScript -en klassificeret som høj sværhedsgrad.

JS-motorfejlen beskrives også som en 'bruger-efter-fri' sårbarhed-et udtryk, der bruges til problemer, der gør det muligt for en trusselsaktør at hacke ind i et program, der har frigjort en del hukommelse, men ikke har ryddet den spids, der er forbundet med det luns.