Уже третья уязвимость нулевого дня в этом году этом году была исправлена с релизом Chrome 89.0.4389.90 для Windows, Mac и Linux.

Проблема получила идентификатор CVE-2021-21193 и была обнаружена анонимным исследователем на прошлой неделею. Уязвимость описывается как серьезный use-after-free баг в опенсорсном движке для рендеринга Blink, разработанном инженерами Chromium при участии Google, Facebook, Microsoft и других.

Эксплуатация этой 0-day уязвимости может привести к выполнению произвольного кода в системах с уязвимыми версиями Chrome.

Хотя разработчики Google сообщают, что проблема уже находится под атаками, никакими подробностями относительно этого компания не делится.

«Доступ к информации об уязвимостях и ссылкам может быть ограничен до тех пор, пока большинство пользователей не установит исправление. Кроме того, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, и она еще не исправлена, мы можем придерживаться аналогичных ограничений», — традиционно для таких случаев сообщает Google.

Напомню, что ранее в 2021 году инженеры Google исправили две другие уязвимости нулевого дня в Chrome:

  • CVE-2021-21166 — была обнаружена экспертами Microsoft Browser Vulnerability Research и описывается как проблема высокой степени серьезности, связанная с «жизненным циклом объектов в аудио»;
  • CVE-2021-21148 — уязвимость в JavaScript движке V8, которая описывается как ошибка нарушение целостности информации в памяти, связанное с переполнением буфера хипа.

Источник: xakep