Выпущено обновление браузера Chrome, исправляющее критическую уязвимость

Исправление веб-браузера Chrome 96.0.4664.110, исправляющее пять уязвимостей, включая критическую с кодом CVE-2021-4098, выпущено компанией Google. Об этом 13 декабря сообщается в блоге компании.

Из пяти исправленных уязвимостей особый интерес представляют две — нулевого дня с кодом CVE-2021-4102 и критическая CVE-2021-4098. Последняя позволяет обойти механизмы безопасности браузера и инициировать выполнения кода за пределами изолированной среды (sandbox).

О механизме работы уязвимостей пока известно немного. Под CVE-2021-4102 уже есть известные сценарии автоматизации эксплуатации (эксплойты), механизм ошибки связан с использованием выделенной памяти уже после освобождения в браузерном движке V8.

Уязвимость CVE-2021-4098 вызвана отсутствием необходимой проверки данных в наборе библиотек межпроцессного взаимодействия (IPC) Mojo.

Помимо наиболее опасных, исправлены также уязвимости в системе программного рендеринга графики на основе OpenGL и DirectX 9 Swiftshader (код CVE-2021-4099) и графическом движке ANGLE (CVE-2021-4100). Дополнительно обнаружена уязвимость CVE-2021-4101, связанная с переполнением буфера.