Η Google κυκλοφόρησε το Chrome 94.0.4606.71 για Windows, Mac και Linux, με στόχο να διορθώσει δύο ευπάθειες zero-day, που εκμεταλλεύονταν από κακόβουλους παράγοντες.
c“Η Google γνωρίζει ότι τα CVE-2021-37975 και CVE-2021-37976 εκμεταλλεύονται εκεί έξω“, αποκάλυψε η εταιρεία στη λίστα με τις διορθώσεις ασφαλείας που καθορίστηκαν στη χθεσινή έκδοση του Google Chrome.
Η Google έχει ξεκινήσει να κυκλοφορεί το Chrome 94.0.4606.71 σε χρήστες σε όλο τον κόσμο, στο κανάλι Stable Desktop και θα πρέπει να είναι διαθέσιμο για όλους τους χρήστες μέσα στις επόμενες ημέρες.
Όσοι επιθυμούν να κάνουν άμεση εγκατάσταση της ενημέρωσης, μπορούν να μεταβούν στο μενού Chrome> Help> About Google Chrome και το πρόγραμμα περιήγησης θα ξεκινήσει να εκτελεί την ενημέρωση.
Το Google Chrome θα ελέγξει επίσης για τις διαθέσιμες ενημερώσεις και θα τις εγκαταστήσει την επόμενη φορά που θα ξεκινήσετε το πρόγραμμα περιήγησης ιστού.
Ενώ αυτή η έκδοση του Chrome περιλαμβάνει διορθώσεις για συνολικά τέσσερις ευπάθειες ασφαλείας, τα δύο zero-day είναι ανησυχητικά, καθώς είναι γνωστό ότι έχουν ήδη εκμεταλλευτεί από hackers.
Το πρώτο zero-day, που ονομάστηκε CVE-2021-37976, περιγράφεται ως “Διαρροή πληροφοριών στον πυρήνα” και έχει επίπεδο μέσης σοβαρότητας. Αυτή η ευπάθεια ανακαλύφθηκε από τον Clément Lecigne από το Google TAG, με τεχνική βοήθεια από τον Sergei Glazunov και τον Mark Brand από το Google Project Zero, στις 21 Σεπτεμβρίου 2021.
Το δεύτερο zero-day, που ονομάστηκε CVE-2021-37975, είναι υψηλής σοβαρότητας και είναι ένα σφάλμα memory corruption, στον κινητήρα JavaScript του Chrome V8. Ο ερευνητής που αποκάλυψε αυτήν την ευπάθεια στις 24 Σεπτεμβρίου θέλησε να παραμείνει ανώνυμος.
Τα σφάλματα memory corruption, χρησιμοποιούνται συνήθως για την εκτέλεση απομακρυσμένου κώδικα ή για να ξεφύγουν από το sandbox ασφαλείας του προγράμματος περιήγησης.
Προς το παρόν, δεν υπάρχουν άλλες λεπτομέρειες σχετικά με τον τρόπο με τον οποίο αυτές οι ευπάθειες zero-day χρησιμοποιήθηκαν σε επιθέσεις, αλλά ενδέχεται να δημοσιευτούν σε μελλοντικές αναφορές από το Google TAG ή το Project Zero.