Google исправил уязвимость класса use-after-free в библиотеке WebGL (Web Graphics Library) — компоненте Google Chrome. В случае злонамеренного использования брешь могла привести к выполнению вредоносного кода в контексте процесса браузера.
WebGL представляет собой JavaScript API, который браузеры используют для отображения интерактивной 2D- и 3D-графики без привлечения плагинов.
Патч для уязвимости уже включён в бета-версию Chrome, а в стабильном релизе Google Chrome 85.0.4149.0 он должен выйти сегодня (согласно расписанию Google).
Уязвимость в браузере обнаружил специалист компании Cisco Марчин Товальски. Брешь получила идентификатор CVE-2020-6492 и 8,3 баллов по шкале CVSSv3.
Как объясняет Товальски, уязвимость приводит к сбою в момент, когда компонент WebGL пытается некорректно обработать объекты в памяти.
