Η Google έχει προειδοποιήσει ότι μια zero-day ευπάθεια στο πρόγραμμα περιήγησης Chrome αξιοποιείται ενεργά από τους χάκερ. Η ευπάθεια, που αναφέρεται ως CVE-2021-21166, αναφέρθηκε από τον Alison Huffman από την ομάδα έρευνας ευπαθειών του προγράμματος περιήγησης της Microsoft στις 11 Φεβρουαρίου και περιγράφεται ως “θέμα κύκλου ζωής αντικειμένου στο audio”.
Η Google χαρακτήρισε την zero-day ευπάθεια ως “υψηλής σοβαρότητας” και έχει διορθώσει το πρόβλημα στην τελευταία έκδοση του Chrome.
Παράλληλα με το CVE-2021-21166, ο Huffman ανέφερε επίσης πρόσφατα ένα άλλο σφάλμα υψηλής σοβαρότητας, το CVE-2021-21165, ένα άλλο ζήτημα τρόπου ζωής αντικειμένου σε πρόβλημα audio και το CVE-2021-21163, ένα ανεπαρκές ζήτημα επικύρωσης δεδομένων στη λειτουργία ανάγνωσης.
Η γιγαντιαία εταιρεία δεν αποκάλυψε περαιτέρω λεπτομέρειες σχετικά με τον τρόπο εκμετάλλευσης του CVE-2021-21166 ή από ποιον γίνεται.
Η ανακοίνωση της Google, που δημοσιεύτηκε την Τρίτη, σηματοδότησε επίσης την κυκλοφορία του Chrome 89 στο «stable desktop channel» για υπολογιστές Windows, Mac και Linux, το οποίο κυκλοφορεί αυτήν τη στιγμή. Οι χρήστες πρέπει να πραγματοποιήσουν update στην έκδοση Chrome 89.0.4389.72 μόλις είναι διαθέσιμη.
Η έκδοση του Chrome 89.0.4389.72 περιέχει επίσης μια σειρά από άλλες διορθώσεις ασφαλείας και βελτιώσεις του προγράμματος περιήγησης. Συνολικά, έχουν διορθωθεί 47 σφάλματα, συμπεριλαμβανομένης του buffer overflow υψηλής σοβαρότητας στο TabStrip (CVE-2021-21159), ένα άλλο buffer overflow στο WebAudio (CVE-2021-21160) και ένα «ζήτημα use-after-free» στο WebRTC (CVE-2021-21162). Συνολικά οκτώ ευπάθειες είναι υψηλής σοβαρότητας.
Στις 4 Φεβρουαρίου, η Google κυκλοφόρησε μια επιδιόρθωση για το CVE-2021-21148, ένα buffer overflow στον κινητήρα JavaScript V8 του Chrome που χρησιμοποιείται επίσης ενεργά από τους χάκερ. Αυτό το ελάττωμα ασφαλείας υψηλής σοβαρότητας εντοπίστηκε αναφέρθηκε από τον Mattias Buelens στις 24 Ιανουαρίου.
Αυτή την εβδομάδα, η Microsoft κυκλοφόρησε επείγουσες ενημερώσεις για τέσσερις ευπάθειες zero-day στον Exchange Server. Η Microsoft λέει ότι τα σφάλματα αξιοποιούνται σε “περιορισμένες στοχευμένες επιθέσεις” και προτρέπει τους χρήστες να κάνουν update το συντομότερο δυνατό.
Πηγή πληροφοριών: zdnet.com
