Восьмая 0-day устранена в Google Chrome с начала 2021 года

Google выпустила обновления безопасности для браузера Chrome. Этот патч устраняет уязвимость нулевого дня (0-day), которую злоумышленники эксплуатируют в кибератаках. Таким образом, с начала 2021 года разработчики пофиксили уже восьмой 0-day баг.

Брешь получила идентификатор CVE-2021-30563 и описывается как возможность нарушения памяти (type confusion) в скриптовом движке V8. Являясь компонентом Chrome, V8 отвечает за запуск и обработку JavaScript-кода.

Подробности эксплуатации уязвимости — как, когда и кем используется в атаках — пока не разглашаются. Это можно легко объяснить: Google привыкла ждать по меньшей мере 30 дней перед тем, как опубликовать детали, поскольку злоумышленники могут взять все эти сведения на вооружение и атаковать пользователей, ещё не успевших обновить браузер.

В любом случае стоит проследовать в настройки Chrome и нажать на пункт «О Google Chrome», после чего установить актуальную версию браузера — v91.0.4472.164. В этом релизе 0-day полностью устранили.

В этом году почему-то принято считать количество уязвимостей нулевого дня, которые разработчики пропатчили в Google Chrome. Список 0-day за 2021 год выглядит так:

• CVE-2021-21148 – Chrome 88.0.4324.150, 4 февраля.
• CVE-2021-21166 – Chrome 89.0.4389.72, 2 марта.
• CVE-2021-21193 – Chrome 89.0.4389.90, 12 марта.
• CVE-2021-21220 – Chrome 89.0.4389.128, 13 апреля.
• CVE-2021-21224 – Chrome 90.0.4430.85, 20 апреля.
• CVE-2021-30551 – Chrome 91.0.4472.101, 9 июня.
• CVE-2021-30554 – Chrome 91.0.4472.114, 17 июня.