Queste sono la decima e l’undicesima vulnerabilità zero-day in Chrome risolte da Google dall’inizio di quest’anno.
Google ha rilasciato aggiornamenti di sicurezza per il suo browser Chrome che risolvono 11 vulnerabilità, due delle quali sono già attivamente sfruttate negli attacchi.
Vulnerabilità zero-day CVE-2021-30632 e CVE-2021-30633 rappresentano rispettivamente la scrittura fuori dai limiti nel motore JavaScript V8 e l’utilizzo della memoria post-free nell’API Indexed DB. La società ne è venuta a conoscenza l’8 settembre 2021 da una fonte anonima.
Come al solito in questi casi, Google si è limitato solo a un messaggio standard che “sapeva dell’esistenza di exploit per CVE-2021-30632 e CVE-2021-30633 per eseguire attacchi reali”. Come, quando, da chi e dove sono state sfruttate le vulnerabilità, l’azienda, come al solito, non l’ha specificato.
CVE-2021-30632 e CVE-2021-30633 sono la decima e l’undicesima vulnerabilità zero-day in Chrome che sono state corrette da Google dall’inizio di quest’anno. L’elenco delle altre vulnerabilità include:
CVE-2021-21148 – buffer overflow in V8;
CVE-2021-21166 – Problema di riciclo degli oggetti nell’audio;
CVE-2021-21193 – Utilizzo della memoria post-free in Blink;
CVE-2021-21206 – Utilizzo della memoria post-free in Blink;
CVE-2021-21220 – Convalida insufficiente dei dati di input non attendibili in V8 per x86_64;
CVE-2021-21224 – mancata corrispondenza dei tipi di dati di input in V8;
CVE-2021-30551 – mancata corrispondenza dei tipi di dati di input in V8;
CVE-2021-30554 – Utilizzo della memoria post-free in WebGL;
CVE-2021-30563 – Mancata corrispondenza del tipo di dati di input in V8.
Si consiglia agli utenti di Chrome di aggiornare i propri browser all’ultima versione 93.0.4577.82 per Windows, Mac e Linux.