Google исправила вторую в 2021 году 0Day-уязвимость в Chrome

Компания Google устранила активно эксплуатируемую уязвимость нулевого дня ( CVE-2021-21166 ) в версии браузера Chrome 89.0.4389.72, выпущенной 2 марта 2021 года для пользователей Windows, Mac и Linux. Также было устранено 47 других менее опасных уязвимостей.

Данная версия в настоящее время распространяется на всю пользовательскую базу. Пользователи могут перейти на использование версии Chrome 89 в настройках браузера. Google Chrome автоматически проверит наличие нового обновления и установит его.

По словам специалистов, уязвимость нулевого дня имеет высокую степень опасности и описывается как «проблема жизненного цикла объекта в аудио». Удаленный злоумышленник может обманом заставить жертву посетить специально созданную web-страницу, вызвать переполнение буфера на основе стека и выполнить произвольный код на системе. Уязвимость была обнаружена в прошлом месяце исследователем безопасности Элисон Хаффман (Alison Huffman) из Microsoft Browser Vulnerability Research.

Хотя в Google заявили, что компании известны сообщения об эксплуатации уязвимости в реальных атаках, поисковый гигант не поделился какой-либо информацией о злоумышленниках, стоящих за этими атаками.

Напомним, в прошлом месяце компания Google выпустила новую версию своего браузера Chrome для Windows, Mac и Linux, которая исправила уязвимость нулевого дня. Проблема ( CVE-2021-21148 ) представляла собой уязвимость переполнения кучи в JavaScript-движке V8. Вскоре после обнаружения проблемы команда безопасности Google опубликовала отчет об атаках северокорейских киберпреступников на ИБ-индустрию. Некоторые из этих атак заключались в том, чтобы заманить исследователей безопасности в блог, где через уязвимость нулевого дня в браузере на их системах запускалось вредоносное ПО.