В Сети уже существует PoC-код для эксплуатации одной из исправленных уязвимостей.
Специалисты компании Google выпустили новую версию браузера Chrome (89.0.4389.128) для Windows, macOS и Linux, исправляющую две уязвимости, для одной из которых уже существует PoC-код, а вторая активно эксплуатируется в атаках.
В первом случае речь идет об уязвимости CVE-2021-21220 в рендеринговом JavaScript-движке V8, продемонстрированной экспертами в рамках конкурса Pwn2Own 2021.
Напомним, исследователь безопасности Раджвардхан Агарвал опубликовал рабочий эксплоит для эксплуатации CVE-2021-21220, проведя обратную разработку патча в исходном коде компонента браузера. Агарвал также сообщил о наличии еще одной уязвимости, затрагивающей браузеры на основе Chromium. Проблема была исправлена в других браузерах, однако последний выпуск Chrome остается уязвимым к атакам.
«Проблемы различны по своей природе, они обе могут быть использованы для удаленного выполнения кода в процессе рендеринга», — пояснил специалист.
Еще одна уязвимость, CVE-2021-21206 , представляет собой проблему использования после освобождения в браузерном движке Blink для Chromium. По данным Google, она уже используется в реальных атаках, но компания, как обычно, не раскрывает подробности, пока обновление не установит большинство пользователей.
5778 К? Пф! У нас градус знаний зашкаливает!