Разработчики Google объявили о выпуске обновления для браузера Chrome (94.0.4606.71 для Windows, Mac и Linux), которое устраняет четыре уязвимости. Две из этих проблем представляют собой 0-day баги и уже взяты на вооружение хакерами.
Первая уязвимость нулевого дня, CVE-2021-37976 , связана с утечкой информации в ядре, и ей был присвоен средний уровень серьезности. Проблема была обнаружена 21 сентября внутри компании, стараниями специалистов Google TAG и Google Project Zero.
Вторая уязвимость нулевого дня, CVE-2021-37975, была найдена в движке JavaScript V8. Она представляет собой проблему высокой степени серьезности и относится к типу user-after-free. Как правило, такие проблемы используются для удаленного выполнения кода или побега из песочницы. Исследователь, сообщивший об этой уязвимости 24 сентября, пожелал остаться неизвестным.
Пока не сообщается никаких других подробностей об этих уязвимостях, а также атаках, в которых они применялись. Вероятно, детали будут опубликованы позже, в отчетах Google TAG или Project Zero, когда большинство пользователей установит патчи.
Еще одна серьезная проблема, исправленная в Chrome на этот раз, получила идентификатор CVE-2021-37974, и представляет собой use-after-free в Safe Browsing. Этот баг нашел специалист Codesafe Team при Legendsec at Qi'anxin Group.
Эксперты Multi-State Information Sharing and Analysis Center (MS-ISAC) предупреждают, что эксплуатация этих уязвимостей может привести к выполнению произвольного кода в контексте браузера и компрометации всей системы.