GoogleがChromeの2つの新しいゼロデイバグを修正
Googleは、Chromeブラウザの定期的で安定したリリースの新しいアップデートで、さらに2つのゼロデイ脆弱性を修正しました。このエクスプロイトは、会社がブラウザで修正した以前の2つの脆弱性と同様に、実際に悪用されています。
安定バージョンチャネルでリリースされたChromeプラットフォームの最新のバグ修正の新しいバージョン番号は、94.0.4606.71です。このアップデートは、Windows、Linux、Macなど、Chromeを実行するすべての主要なデスクトッププラットフォームで利用できます。
グーグルはまた公式声明を発表し、開発チームが最近パッチを当てた2つの脆弱性がすでに実際に悪用されているという事実を認識していることを一般に知らせました。 2つのバグのCVE指定子は、それぞれCVE-2021-37975とCVE-2021-37976です。これらの両方の修正は、4606.71パッチリリースに含まれていました。
Googleは、Chromeの自動アップデータを通じてすべての人がパッチを受け取っていることを確認したいので、2つの脆弱性の詳細に関する完全な情報はありません。グーグルの公式声明は、パッチが完全に世界中に展開されるまで、「バグの詳細とリンクへのアクセスは制限されたままになる可能性がある」と強調した。
この記事の執筆時点で、私たちのシステムはすでにパッチを受け取っているので、最悪の場合、あと数時間以内にすべての人が利用できるようになると考えて間違いありません。
2つの脆弱性について知られていることは、CVE-2021-37976がCVE標準に従って中程度の重大度のバグとして評価されており、「コアの情報漏えい」を伴うことです。その他の脆弱性は、ブラウザのV8JSエンジンのバグとして説明されています。 37976の脆弱性とは異なり、JavaScriptの脆弱性は重大度が高いと分類されます。
JSエンジンのバグは、「user-after-free」脆弱性とも呼ばれます。これは、脅威の攻撃者が、メモリのチャンクを解放したが、それに関連するポイントをクリアしていないプログラムにハッキングすることを可能にする問題に使用される用語です。チャンク。