Google retter seks Chrome zero-day exploites

zero day exploit kaspersky
Google har frigivet Chrome 91.0.4472.101 til Windows, Mac og Linux for at løse 14 sikkerhedssårbarheder, hvor en Chrome zero-day exploit, som er registreret som aktiv udnyttet trackes som CVE-2021-30551.

Google Chrome 91.0.4472.101 er allerede i udrulningsfasen for at blive lanceret over hele verden og bliver tilgængeligt for alle brugere i løbet af de næste par dage.

Google Chrome forsøger automatisk at opgradere browseren, næste gang du starter browseren, men du kan udføre en manuel opdatering ved at gå til Indstillinger> Hjælp> Om Google Chrome.



Seks Chrome zero-day exploites udnyttes

Få detaljer vedrørende disse zero-day exploites, er undsluppet, bortset fra at det er en form for confusion bug i V8, Googles open source og C ++ WebAssembly og JavaScript-engine.

Sårbarheden blev opdaget af Sergei Glazunov fra Google Project Zero og trackes under CVE-2021-30551.

Google siger, at de er "aware that an exploit for CVE-2021-30551 exists in the wild."

Dagens opdatering løser Google Chromes sjette zero-day exploit angreb, med de andre fem nedenfor:

CVE-2021-21148 - 4. februar 2021

CVE-2021-21166 - 2. marts 2021

CVE-2021-21193 - 12. marts 2021

CVE-2021-21220 - 13. april 2021

CVE-2021-21224 - 20. april 2021

Ud over disse sårbarheder brød nyheden i går om en trusselsaktørgruppe kendt som Puzzlemaker, der sammenkæder Google Chromes zero-day bugs for at undslippe browserens ”sandkasse” og installere malware i Windows.

"Once the attackers have used both the Chrome and Windows exploits to gain a foothold in the targeted system, the stager module downloads and executes a more complex malware dropper from a remote server," lyder det fra securelist.com

Microsoft rettede Windows-sårbarhederne i går som en del af Patch Tuesday 2021-opdateringen.

Kaspersky mener, at angriberne muligvis har brugt Google Chrome CVE-2021-21224-sårbarheden, men har ikke udelukket brugen af yderligere endnu ikke-afslørede Chrome zero-day sårbarheder.


Source & Image credit:

Google, Securelist