Хакер #305. Многошаговые SQL-инъекции
Разработчики Google обновили браузер Chrome до версии 91.0.4472.114, чтобы исправить четыре уязвимости, одна из которых представляет собой 0-day высокой степени серьезности и уже используется хакерами.
Инженеры компании предупреждают, что, по их данным, для уязвимости CVE-2021-30554 уже существует работающий эксплоит, который применяется для атак.
Эта проблема представляет собой use-after-free в составе WebGL (Web Graphics Library) JavaScript API, который используется Chrome для рендеринга интерактивной 2D- и 3D-графики без использования плагинов. Эксплуатация бага может привести к выполнению произвольного кода на компьютерах пользователей с уязвимыми версиями Chrome.
Хотя в Google заявляют, что им известно об атаках с применением CVE-2021-30554, компания традиционно не сообщает никакой информации об этих инцидентах.
«Доступ к информации об уязвимостях и ссылкам может быть ограничен до тех пор, пока большинство пользователей не установит исправление. Кроме того, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, и она еще не исправлена, мы можем придерживаться аналогичных ограничений», — сообщает Google.
Также в этом релизе разработчики устранили еще три use-after-free проблемы в Chrome Sharing, WebAudio и TabGroups. Баги получили идентификаторы CVE-2021-30555, CVE-2021-30556 и CVE-2021-30557.
Проблема CVE-2021-30554 стала уже седьмой 0-day уязвимостью, исправленной в Chrome в 2021 году. Ранее в браузере были устранены: CVE-2021-21148, CVE-2021-21166, CVE-2021-21193, CVE-2021-21220, CVE-2021-21224 и CVE-2021-30551.