Google naprawia dwa nowe błędy dnia zerowego w Chrome

Google właśnie naprawiło dwie kolejne luki dnia zerowego, nową aktualizację regularnej, stabilnej wersji ich przeglądarki Chrome. Exploity zostały wykorzystane na wolności, podobnie jak kilka poprzednich luk, które firma naprawiła w przeglądarce.

Nowy numer wersji najnowszej poprawki błędu platformy Chrome, opublikowany w kanale wersji stabilnej, to 94.0.4606.71. Aktualizacja jest dostępna na wszystkich głównych platformach komputerowych z Chrome, w tym Windows, Linux i Mac.

Google wydał również oficjalne oświadczenie, informując opinię publiczną, że zespół programistów jest świadomy faktu, że dwie ostatnio załatane luki zostały już wykorzystane na wolności. Oznaczenia CVE dla dwóch błędów to odpowiednio CVE-2021-37975 i CVE-2021-37976. Poprawki dla obu z nich zostały uwzględnione w wydaniu łatki 4606.71.

Nie ma pełnych informacji dotyczących specyfiki tych dwóch luk, ponieważ Google chce się upewnić, że wszyscy otrzymali łatkę za pośrednictwem automatycznego aktualizatora Chrome. W oficjalnym oświadczeniu Google podkreślono, że „dostęp do szczegółów błędów i linków może być ograniczony”, dopóki łatka nie zostanie w pełni wdrożona na całym świecie.

W chwili pisania tego tekstu nasz system otrzymał już poprawkę, więc można bezpiecznie założyć, że zostanie ona wdrożona i dostępna dla wszystkich w ciągu kilku godzin, w najgorszym przypadku.

Wiadomo o tych dwóch lukach, że CVE-2021-37976 jest oceniany jako błąd o średniej wadze zgodnie ze standardami CVE i obejmuje „wyciek informacji w rdzeniu”. Druga luka jest opisana jako błąd w silniku V8 JS przeglądarki. W przeciwieństwie do luki 37976, luka JavaScript jest sklasyfikowana jako luka o wysokim poziomie ważności.

Błąd silnika JS jest również opisywany jako luka „użytkownik po zwolnieniu” – termin używany dla problemów, które umożliwiają cyberprzestępcy włamanie się do programu, który zwolnił fragment pamięci, ale nie wyczyścił skojarzonych z tym problemów kawałek.