В Chrome исправили еще одну уязвимость нулевого дня

В 2021 году разработчики Chrome исправили в браузере компании более десяти 0-day уязвимостей. На этот раз инженеры Google обновили Chrome для Windows, Mac и Linux до версии 94.0.4606.61, и в браузере была исправлена серьезная проблема, уже находящаяся под атаками.

Уязвимость, получившая идентификатор CVE-2021-37973, была обнаружена на прошлой неделе, после релиза первого стабильного выпуска Google Chrome 94. Баг нашли внутри компании, силами специалистов Google TAG и Google Project Zero.

Известно, что проблема представляет собой use after free в Portals, новой системе навигации по веб-страницам для Chrome (позволяет одной странице отображать другую в качестве вставки и «выполнять плавный переход в новое состояние, где ранее вставленная страница становится документом верхнего уровня»). Успешная эксплуатация этого бага позволяет злоумышленникам выполнить произвольный код на компьютерах пользователей с уязвимыми версиями Chrome.

В Google предупреждают, что, по их данным, для уязвимости уже существует эксплоит, а неназванные злоумышленники уж используют ее для атак. Однако пока компания не предоставила никакой дополнительной информации о самой проблеме и обнаруженных атаках, традиционно сообщив, что сначала большинство пользователей должно обновить браузер, установив исправления.

Источник 📢