Google исправляет две активно эксплуатируемые ошибки Chrome

Компания Google выпустила новую версию Chrome, в которой устранены семь недостатков в безопасности популярного браузера - два из них являются уязвимостями нулевого дня, которые уже были использованы хакерами.

Все семь устраненных уязвимостей относятся к категории высокой степени серьезности, что является вторым по значимости уровнем в руководстве Google по серьезности. Компания заявляет, что ее цель - сделать исправления, связанные с уязвимостями высокой степени серьезности, доступными для всех пользователей Chrome менее чем за 60 дней.

Однако не все ошибки высокой степени серьезности одинаковы, и Google заявляет, что "знает о существовании в природе эксплойтов для CVE-2021-38000 и CVE-2021-38003". Это означает, что злоумышленники уже нашли способ использовать эти уязвимости, но Google не предлагает никаких подробностей об этих эксплойтах.

Компания говорит, что CVE-2021-38000 относится к "Недостаточной проверке ненадежного ввода в Intents". CVE-2021-38003, тем временем, описывается как "Неправильная реализация в V8". (Это движок JavaScript и WebAssembly с открытым исходным кодом, который также используется в Node.js).

По данным Google, о CVE-2021-38000 сообщили Клемент Лечинь, Нил Мехта и Мэдди Стоун из Google Threat Analysis Group 15 сентября; о CVE-2021-38003 сообщили Лечинь и Самуэль Грос из Google Project Zero 26 октября. Исправления были выпущены 28 октября.

О двух из уязвимостей (CVE-2021-38001 и CVE-2021-38002) сообщили участники Tianfu Cup, китайского хакерского соревнования, на котором исследователи продемонстрировали эксплойты во всем, от Windows 10 и Adobe PDF Reader до iOS 15 и Chrome, в начале этого месяца.

Об остальных уязвимостях сообщили Ашиш Арун Дхоне, Кэссиди Ким из Amber Security Lab и Вэй Юань из MoyunSec VLab в период с 21 сентября по 14 октября. Исследователи получили вознаграждения в размере $1 000 и $10 000 за раскрытие информации об уязвимостях.

Исправления для всех этих ошибок поступили в Chrome 95.0.4638.69 для Windows, macOS и Linux. Обновление можно установить вручную через страницу "О Google Chrome" в разделе "Справка" меню браузера; оно будет автоматически "распространяться в ближайшие дни/недели" для всех пользователей.