Google предупредил о сообщениях о том, что уязвимость нулевого дня в браузере Chrome активно эксплуатируется в дикой природе.
Об уязвимости, отслеживаемой как CVE-2021-21166, сообщила Элисон Хаффман из группы исследования уязвимостей браузера Microsoft 11 февраля и описана как «проблема жизненного цикла объекта в звуке».
Google назвал уязвимость уязвимостью "высокой" степени серьезности и исправил ее в последней версии Chrome.
Наряду с CVE-2021-21166, Хаффман также недавно сообщил о другой серьезной ошибке, CVE-2021-21165, еще одной проблеме образа жизни объекта в проблеме со звуком, и CVE-2021-21163, проблеме недостаточной проверки данных Режим чтения.
Технический гигант не раскрыл подробностей относительно того, как и кем используется CVE-2021-21166.
Объявление Google, опубликованное во вторник, также ознаменовало выпуск Chrome 89 на стабильный канал настольных компьютеров для компьютеров Windows, Mac и Linux, который в настоящее время развертывается. Пользователи должны перейти на Chrome 89.0.4389.72, как только он станет доступен.
Выпуск Chrome 89.0.4389.72 также содержит ряд других исправлений безопасности и улучшений браузера. Всего было исправлено 47 ошибок, включая переполнение буфера кучи высокой степени серьезности в TabStrip (CVE-2021-21159), другое переполнение буфера кучи в WebAudio (CVE-2021-21160) и проблему использования после освобождения в WebRTC (CVE-2021-21162). В общей сложности восемь уязвимостей считаются высокозащищенными.
«Доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновят исправление», — добавил Google. «Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, но еще не исправлена».
4 февраля Google выпустил исправление для CVE-2021-21148, переполнения буфера кучи в движке JavaScript Chrome V8, которое также активно эксплуатируется. Об этой серьезной уязвимости безопасности сообщил Маттиас Буэленс 24 января.
На этой неделе Microsoft выпустила срочные обновления для четырех уязвимостей нулевого дня в Exchange Server. Microsoft заявляет, что ошибки используются в «ограниченных целевых атаках», и призывает пользователей как можно быстрее обновиться.
Предыдущее и связанное с ним покрытие
Есть подсказка? Свяжитесь с нами безопасно через WhatsApp | Сигнал на +447713 025 499 или более на Keybase: charlie0
