Обновляем Google Chrome, чтобы исправить вторую 0-day уязвимость за две недели
Разработчики представили Chrome версии 86.0.4240.183 для Windows, Mac и Linux, в которой устранили 10 уязвимостей, включая 0-day проблему, уже активно используемую хакерами. Баг получил идентификатор CVE-2020-16009. Выявленная проблема была связана с работой JavaScript-движка V8 и допускает удаленное выполнение произвольного когда (RCE).
#Chrome #Updates
Разработчики представили Chrome версии 86.0.4240.183 для Windows, Mac и Linux, в которой устранили 10 уязвимостей, включая 0-day проблему, уже активно используемую хакерами. Баг получил идентификатор CVE-2020-16009. Выявленная проблема была связана с работой JavaScript-движка V8 и допускает удаленное выполнение произвольного когда (RCE).
#Chrome #Updates
С учетом того, что Chrome является одним из наиболее часто используемых браузеров в России, предлагается обновить его до версии 88.0.4324.146 во избежание компрометации личных данных.
Опубликовано обновление браузера Chrome 88.0.4324.146 в котором устранена уязвимость, имеющая статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали об уязвимости (CVE-2021-21142) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в реализации API Payments.
Кроме того, в новом выпуске устранено ещё 5 уязвимостей, из которых 4 присвоен высокий уровень опасности. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 52500 долларов США (одна премия $20000, две премии $10000, по одной премии $7500 и $5000). Размер одного вознаграждения пока не определён.
P.S. Microsoft Edge на базе Chromium пока без обновлений… Текущая версия 88.0.705.56
#Update #Security #Chrome
Опубликовано обновление браузера Chrome 88.0.4324.146 в котором устранена уязвимость, имеющая статус критической проблемы, позволяющей обойти все уровни защиты браузера и выполнить код в системе, за пределами sandbox-окружения. Детали об уязвимости (CVE-2021-21142) пока не раскрываются, известно только, что она вызвана обращением к уже освобождённому блоку памяти в реализации API Payments.
Кроме того, в новом выпуске устранено ещё 5 уязвимостей, из которых 4 присвоен высокий уровень опасности. В рамках программы по выплате денежного вознаграждения за обнаружение уязвимостей для текущего релиза компания Google выплатила 52500 долларов США (одна премия $20000, две премии $10000, по одной премии $7500 и $5000). Размер одного вознаграждения пока не определён.
P.S. Microsoft Edge на базе Chromium пока без обновлений… Текущая версия 88.0.705.56
#Update #Security #Chrome
1️⃣ Обновление Chrome 91.0.4472.164 с устранением 0-day уязвимости
Компания Google сформировала обновление Chrome 91.0.4472.164, в котором исправлены 8 уязвимостей, в том числе проблема CVE-2021-30563, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана неправильной обработкой типов (Type Confusion) в JavaScript-движке V8.
Среди других уязвимосией: три проблемы с обращением к памяти после её освобождения (Use after free) в V8, Blink XSLT и WebSerial; ещё одна проблема с обработкой типов (Type Confusion) в V8; переполнения буферов в ANGLE и WebXR.
2️⃣ Microsoft Edge 91.0.864.70
Корпорация Майкрософт выпустила новый Microsoft Edge стабильного канала (версия 91.0.864.70), содержащий последние обновления для системы безопасности проекта Chromium. Исправлены ошибки и проблемы с производительностью.
#Chrome #Microsoft #Edge
Компания Google сформировала обновление Chrome 91.0.4472.164, в котором исправлены 8 уязвимостей, в том числе проблема CVE-2021-30563, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана неправильной обработкой типов (Type Confusion) в JavaScript-движке V8.
Среди других уязвимосией: три проблемы с обращением к памяти после её освобождения (Use after free) в V8, Blink XSLT и WebSerial; ещё одна проблема с обработкой типов (Type Confusion) в V8; переполнения буферов в ANGLE и WebXR.
2️⃣ Microsoft Edge 91.0.864.70
Корпорация Майкрософт выпустила новый Microsoft Edge стабильного канала (версия 91.0.864.70), содержащий последние обновления для системы безопасности проекта Chromium. Исправлены ошибки и проблемы с производительностью.
#Chrome #Microsoft #Edge
Обновление Chrome 96.0.4664.110 с устранением критической и 0-day уязвимостей
Компания Google сформировала обновление Chrome 96.0.4664.110, в котором исправлены 5 уязвимостей, в том числе уязвимость (CVE-2021-4102), уже применяемая злоумышленниками в эксплоитах (0-day) и критическая уязвимость (CVE-2021-4098), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения.
Детали пока не раскрываются, известно лишь, что 0-day уязвимость вызвана использованием памяти после её освобождения в движке V8, а критическая уязвимость связана с отсутствием должной проверки данных в IPC-фреймворке Mojo. Из других уязвимостей упоминаются переполнение буфера (CVE-2021-4101) и обращение к уже освобождённой памяти (CVE-2021-4099) в системе рендеринга Swiftshader, а также проблема (CVE-2021-4100) с жизненным циклом объектов в ANGLE, прослойке для трансляции вызовов OpenGL ES в OpenGL, Direct3D 9/11, Desktop GL и Vulkan.
#Chrome #Updates #Security
Компания Google сформировала обновление Chrome 96.0.4664.110, в котором исправлены 5 уязвимостей, в том числе уязвимость (CVE-2021-4102), уже применяемая злоумышленниками в эксплоитах (0-day) и критическая уязвимость (CVE-2021-4098), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения.
Детали пока не раскрываются, известно лишь, что 0-day уязвимость вызвана использованием памяти после её освобождения в движке V8, а критическая уязвимость связана с отсутствием должной проверки данных в IPC-фреймворке Mojo. Из других уязвимостей упоминаются переполнение буфера (CVE-2021-4101) и обращение к уже освобождённой памяти (CVE-2021-4099) в системе рендеринга Swiftshader, а также проблема (CVE-2021-4100) с жизненным циклом объектов в ANGLE, прослойке для трансляции вызовов OpenGL ES в OpenGL, Direct3D 9/11, Desktop GL и Vulkan.
#Chrome #Updates #Security
