Google vydává opravu hotfix pro Chrome, která opravuje zneužití útoku

Google aktualizoval Chrome na verzi 96.0.4664.110 pro Windows, Mac a Linux na stabilním kanálu kvůli vysoce zabezpečené zranitelnosti zero-day , u které společnost potvrdila, že je využívána ve volné přírodě. Podle oznámení může aktualizaci chvíli trvat, než se dostane ke všem, ale do našeho testovacího systému se nám podařilo získat aktualizaci okamžitě.

Aktualizace obsahuje pět oprav, které si můžete prohlédnout níže, spolu s odpovídající odměnou za odhalení.

  • [$ NA] [ 1263457 ] Kritické CVE-2021-4098: Nedostatečná validace dat v Mojo. Oznámil to Sergey Glazunov z Google Project Zero, 2021-10-26
  • [$ 5000] [ 1270658 ] Vysoká CVE-2021-4099: Použijte po bezplatném použití ve Swiftshaderu. Nahlásil Aki Helin ze Solita 16. listopadu 2021.
  • [$ 5000] [ 1272068 ] Vysoká CVE-2021-4100: Problém životního cyklu objektu v ANGLE. Nahlásil Aki Helin ze Solita 2021-11-19
  • [$ TBD] [ 1262080 ] Vysoká CVE-2021-4101: Přetečení vyrovnávací paměti haldy ve Swiftshaderu. Toto oznámili Abraruddin Khan a Omayr 21. října 2021.
  • [$ TBD] [ 1278387 ] Vysoká CVE-2021-4102: použijte po bezplatném použití ve V8. Nahlášeno uživatelem Anonymous dne 2021-12-09.

Google také poznamenává, že „přístup k podrobnostem o chybách a odkazům může být omezen, dokud většina uživatelů neaktualizuje opravu hotfix. Omezení zachováme také v případě, že chyba existuje v knihovně třetí strany, na které podobně závisí jiné projekty, ale „dosud nebyla opravena“. který pravděpodobně odkazuje na CVE-2021-4102 a podle vyhledávacího giganta je již aktivně využíván ve volné přírodě.

Toto je 16. taková zero-day zranitelnost, kterou společnost letos opravila, což také není neobvyklé, podle Bleeping Computer, který si toho všiml jako první. Zbývajících 15 nula dní, opravených v roce 2021, je uvedeno níže:

  • CVE-2021-21148 – 4. února
  • CVE-2021-21166 – 2. března
  • CVE-2021-21193 – 12. března
  • CVE-2021-21220 – 13. dubna
  • CVE-2021-21224 – 20. dubna
  • CVE-2021-30551 – 9. června
  • CVE-2021-30554 – 17. června
  • CVE-2021-30563 – 15. července
  • CVE-2021-30632 a CVE-2021-30633 – 13. září.
  • CVE-2021-37973 – 24. září
  • CVE-2021-37976 a CVE-2021-37975 – 30. září.
  • CVE-2021-38000 a CVE-2021-38003 – 28. října

Možná si také vzpomenete, že když byl minulý měsíc vydán Chrome 96, bylo zjištěno, že Chrome 97 nebude dodán dříve než v prvním lednovém týdnu, a proto je záplatování aktuální verze ještě důležitější.

Chcete-li zkontrolovat, zda je k dispozici aktualizace, přejděte do nabídky Chrome > Nápověda > O aplikaci Google Chrome. Prohlížeč také automaticky zkontroluje, zda jsou k dispozici nejnovější aktualizace, a pokud jsou k dispozici, nainstaluje a poskytne možnost restartu, po kterém bude aktualizace použita.

Zdroj: Google přes Bleeping Computer

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.