В Google Chrome устранили третью 0-day уязвимость с начала 2021 года

Олег Иванов 15 Марта 2021 - 08:51

Домашние пользователи

Уязвимость нулевого дня

Патчи

...

В Google Chrome устранили третью 0-day уязвимость с начала 2021 года

Разработчики Google устранили ещё одну опасную 0-day уязвимость, эксплуатируемую в реальных атаках киберпреступников. Получается, что это уже второй подобный баг, пропатченный только за март, и третий — с начала этого года.

В конце прошлой недели на стабильном канале Chrome для систем Windows, macOS и Linux появилась новая версия браузера — 89.0.4389.90. В общей сложности разработчики пропатчили в ней пять уязвимостей.

Самой опасной брешью в этот раз стала ошибка вида use-after-free, затрагивающая движок Blink. Багу присвоили идентификатор CVE-2021-21193, а его технические подробности пока держат в секрете. Известно, что некий исследователь сообщил Google об уязвимости 9 марта 2021 года.

Интернет-гигант подтвердил наличие рабочего эксплойта для CVE-2021-21193, которым успешно пользуются злоумышленники. Детали атак и метода эксплуатации пока не раскрываются, поскольку Google хочет убедиться, что подавляющее большинство пользователей установило вышедшее обновление.

«Google в курсе наличия активного эксплойта для CVE-2021-21193, применяемого в реальных кибератаках», — отметили представители корпорации.

Таким образом, эта 0-day стала уже третьей активно эксплуатируемой дырой, пропатченной с начала 2021 года. Ранее разработчики устранили CVE-2021-21166 — вторую брешь за месяц.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 25 Ноября 2024 - 15:19

Уязвимости программ Домашние пользователи

Давно не обновляли 7-Zip? В нем может присутствовать RCE-уязвимость

Участник проекта Trend Micro Zero Day Initiative (ZDI) выявил в 7-Zip уязвимость, позволяющую выполнить вредоносный код в Windows. Патч вышел в составе сборки 24.07; обновление архиватора возможно лишь вручную.

Согласно бюллетеню ZDI, причиной появления проблемы CVE-2024-11477 является некорректная реализация механизма разуплотнения данных Zstandard, а точнее, неадекватная проверка пользовательского ввода.

Из-за этого возник риск возникновения целочисленного переполнения через нижнюю границу представления. Данную ошибку, по словам автора находки, можно использовать для выполнения произвольного кода в контексте текущего процесса.

Эксплойт возможен с помощью специально созданного архива; автору атаки также придется убедить пользователя открыть вредоносный файл. В случае успеха последствия могут быть различными, от кражи данных до полной компрометации целевой системы.

Получив отчет ZDI, разработчики создали патч и включили его в выпуск 24.07. Пользователям 7-Zip настоятельно рекомендуется обновить продукт до последней версии (текущая — 24.08).

Формат 7z не менее популярен, чем ZIP и RAR; в прошлом году его поддержка была добавлена в Windows 11. Сам архиватор с открытым кодом поддерживает MotW — защиту Windows от drive-by-загрузок, однако оказалось, что он плохо распознает угрозы, спрятанные путем конкатенации архивных файлов.