Серджиу Гатлан
- 4 февраля 2021 г.
- 15:10
Google устранил активно используемую уязвимость нулевого дня в версии Chrome 88.0.4324.150, выпущенную сегодня, 4 февраля 2020 года, на канале стабильного рабочего стола для пользователей Windows, Mac и Linux.
«Google осведомлен о сообщениях о распространении уязвимости для CVE-2021-21148». говорится в объявлении Google Chrome 88.0.4324.150.
Эта версия будет распространена среди всей пользовательской базы в ближайшие дни / недели. Пользователи настольных компьютеров Windows, Mac и Linux могут обновиться до Chrome 88, перейдя в Настройки.Справка о Google Chrome.
Затем веб-браузер Google Chrome автоматически проверит наличие нового обновления и установит его, когда оно станет доступным.
Уязвимость V8 при активной эксплуатации
Уязвимость, оцененная Google как высокая степень серьезности, отслеживается как CVE-2021-21148, о чем сообщил Маттиас Буэленс 24 января 2021 г.
28 января Microsoft сообщила, что хакерская группа, поддерживаемая правительством Северной Кореи, которая, по мнению ZINC, «вероятно» использовала цепочку эксплойтов браузера Chrome (с эксплойтами нулевого дня или исправлениями) для нацеливания на исследователей уязвимостей.
Нулевой день описывается как ошибка переполнения буфера кучи в V8, высокопроизводительном движке WebAssembly и JavaScript с открытым исходным кодом Google и на основе C.
Хотя переполнение буфера обычно приводит к сбоям, злоумышленники также могут использовать его для выполнения произвольного кода в системах, на которых запущено уязвимое программное обеспечение.
Нет подробностей об атаках с использованием нулевого дня
Несмотря на то, что Google заявляет, что «знает об сообщениях о том, что эксплойт для CVE-2020-16009 существует в дикой природе», компания не предоставила никаких подробностей относительно участников угроз, стоящих за этими атаками.
«Доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновят исправление». добавляет Google.
«Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но еще не исправлена».
Это должно предоставить пользователям Chrome дополнительное время для установки выпущенного сегодня обновления безопасности и предотвратить создание злоумышленниками других эксплойтов, нацеленных на эту ошибку нулевого дня.
В прошлом году Google установил пять нулевых дней Chrome, которые активно эксплуатировались в дикой природе, все в течение одного месяца, с 20 октября по 12 ноября.
