Разработчики Google обновили Chrome для Windows, Mac и Linux до версии 91.0.4472.101, чтобы исправить 14 уязвимостей, включая одну уязвимость нулевого дня, уже находившуюся под атаками (CVE-2021-30551).
Пока подробностей о баге мало, но уже известно, что он относится к типу type confusion и был обнаружен специалистом Google Project Zero Сергеем Глазуновым в составе опенсорсного движка V8, C ++ WebAssembly и JavaScript.
Глава Google Threat Analysis Group (TAG) Шейн Хантли, отмечает, что эта уязвимость использовалась теми же злоумышленниками, которые эксплуатировали 0-day CVE-2021-33742 в Windows, исправленную Microsoft ранее на этой неделе.
Chrome in-the-wild vulnerability CVE-2021-30551 patched today was also from the same actor and targeting.
— Shane Huntley (@ShaneHuntley) June 9, 2021
Thanks to Chrome team for also patching within 7 days.https://t.co/1RDbbuiBfY https://t.co/Ap9dEq98Cy
CVE-2021-30551 стала уже шестой 0-day уязвимостью, исправленной в Chrome в 2021 году. Ранее, с февраля по апрель текущего года, в браузере были устранены: CVE-2021-21148, CVE-2021-21166, CVE-2021-21193, CVE-2021-21220 и CVE-2021-21224.
Напомню, что на этой неделе эксперты «Лаборатории Касперского» тоже предупреждали о том, что злоумышленники из группы Puzzlemaker используют уязвимости в Google Chrome для своих атак. Исследователи не смогли определить, какие именно баги в Chrome эксплуатируют хакеры, но предположили, что это проблема CVE-2021-21224 и еще нераскрытые уязвимости нулевого дня.