„Google“ ištaiso dvi naujas „nulinės dienos“ klaidas „Chrome“
„Google“ ką tik ištaisė dar du nulinės dienos pažeidžiamumus-naują atnaujinimą, skirtą įprastam, stabiliam „Chrome“ naršyklės leidimui. Išnaudojimai buvo išnaudoti gamtoje, kaip ir ankstesnės poros pažeidžiamumų, kuriuos bendrovė nustatė naršyklėje.
Naujas naujausios „Chrome“ platformos klaidos pataisos versijos numeris, išleistas stabilios versijos kanale, yra 94.0.4606.71. Atnaujinti galima visose pagrindinėse darbalaukio platformose, kuriose veikia „Chrome“, įskaitant „Windows“, „Linux“ ir „Mac“.
„Google“ taip pat paskelbė oficialų pareiškimą, kuriame informavo visuomenę, kad kūrėjų komanda žino faktą, kad du naujausi pataisyti pažeidžiamumai jau buvo išnaudoti gamtoje. Abiejų klaidų CVE žymenys yra atitinkamai CVE-2021-37975 ir CVE-2021-37976. Abiejų pataisymai buvo įtraukti į 4606.71 pataisos leidimą.
Nėra išsamios informacijos apie šių dviejų pažeidžiamumų specifiką, nes „Google“ nori įsitikinti, kad visi gavo pataisą per „Chrome“ automatinį atnaujinimą. Oficialiame „Google“ pareiškime pabrėžiama, kad „prieiga prie išsamios klaidos informacijos ir nuorodų gali būti ribojama“, kol pleistras nebus visiškai įdiegtas visame pasaulyje.
Šio rašymo metu mūsų sistema jau gavo pataisą, todėl galima daryti prielaidą, kad blogiausiu atveju ji bus išleista ir prieinama visiems dar po kelių valandų.
Apie abu pažeidžiamumus žinoma tai, kad CVE-2021-37976 pagal CVE standartus yra įvertinta kaip vidutinio sunkumo klaida ir apima „informacijos nutekėjimą iš esmės“. Kitas pažeidžiamumas apibūdinamas kaip klaida naršyklės V8 JS variklyje. Skirtingai nuo 37976 pažeidžiamumo, „JavaScript“ yra klasifikuojamas kaip labai sunkus.
JS variklio klaida taip pat apibūdinama kaip pažeidžiamumas „be vartotojo“-terminas, naudojamas problemoms, leidžiančioms grėsmės veikėjui įsilaužti į programą, kuri atlaisvino dalį atminties, bet neišvalė su tuo susijusios gabalas.