В Chrome снова исправляют 0-day уязвимости - «Новости» » Интернет технологии
sitename
МВД России арестовало хак-группу, стоящую за разработкой стилера Meduza - «Новости»
МВД России арестовало хак-группу, стоящую за разработкой стилера Meduza - «Новости»
 Уязвимость Brash выводит из строя Chromium-браузеры - «Новости»
Уязвимость Brash выводит из строя Chromium-браузеры - «Новости»
 MEGANews. Cамые важные события в мире инфосека за октябрь - «Новости»
MEGANews. Cамые важные события в мире инфосека за октябрь - «Новости»
 Атака TEE.fail обходит защиту конфиденциальных вычислений на процессорах Intel и AMD - «Новости»
Атака TEE.fail обходит защиту конфиденциальных вычислений на процессорах Intel и AMD - «Новости»
 Новая версия Android-трояна DeliveryRAT может использоваться для DDoS-атак - «Новости»
Новая версия Android-трояна DeliveryRAT может использоваться для DDoS-атак - «Новости»
 Специалисты iFixit обнаружили «парадокс ремонта» при разборке iPad Pro с чипом M5 - «Новости сети»
Специалисты iFixit обнаружили «парадокс ремонта» при разборке iPad Pro с чипом M5 - «Новости сети»
 Google выяснила, что Android эффективнее iOS блокирует спам и мошеннические SMS - «Новости сети»
Google выяснила, что Android эффективнее iOS блокирует спам и мошеннические SMS - «Новости сети»
 Спасибо, Epic Games: Google разрешила разработчикам обходить комиссию «Play Маркета» - «Новости сети»
Спасибо, Epic Games: Google разрешила разработчикам обходить комиссию «Play Маркета» - «Новости сети»
 Платный эвакуационный шутер ARC Raiders за несколько часов после релиза собрал более 175 тыс. игроков в Steam - «Новости сети»
Платный эвакуационный шутер ARC Raiders за несколько часов после релиза собрал более 175 тыс. игроков в Steam - «Новости сети»
 Telegram начал предлагать россиянам отправлять SMS незнакомым людям в обмен на Premium - «Новости сети»
Telegram начал предлагать россиянам отправлять SMS незнакомым людям в обмен на Premium - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Вёрстка » В Chrome снова исправляют 0-day уязвимости - «Новости»

✔В Chrome снова исправляют 0-day уязвимости - «Новости»

16 апреля 2021 972 Вёрстка / Новости / Заработок / Преимущества стилей / Изображения / Типы носителей 0

Google выпустила новую версию Chrome для Windows, Mac и Linux с исправлениями для двух недавно обнаруженных уязвимостей. По данным компании, для этих багов уже доступны эксплоиты. Проблемы получили идентификаторы CVE-2021-21206 и CVE-2021-21220.


Уязвимость CVE-2021-21206 была обнаружена в jаvascript-движке V8 и связана с опубликованным ранее на этой неделе RCE-эксплоитом. Напомню, что данный баг использовался для компрометации Chrome и Edge на недавно завершившемся конкурсе Pwn2Own экспертами из команды Dataflow Security, которые у итоге получили 100 000 долларов за эту уязвимость. Эксплоит же был опубликован несколькими днями позже индийским исследователем Раджвардханом Агарвалом (Rajvardhan Agarwal), который сумел найти баг, изучая патчи в исходном коде V8.


В Google подтвердили, что исправление связано именно с этой проблемой, а также объяснили, что уязвимость возникала из-за некорректной проверки ненадежных входных данных в V8 для x86-64.


Интересно, что Агарвал сообщил изданию The Hacker News, что существует еще одна уязвимость, исправленная в последней версии V8, патч для которой не вошел в обновленную версию Chrome.


«Хотя обе проблемы различны по своей природе, обе могут использоваться для выполнения произвольного кода в процессе рендеринга. Подозреваю, что первый патч вошел в состав обновления Chrome из-за опубликованного [мной] эксплоита, но поскольку второй патч в эту версию Chrome не вошел, [уязвимость] все еще можно использовать», — говорит специалист.


Вторая уязвимость, исправленная в браузере Google (CVE-2021-21220), относится к типу use-after-free и была найдена в движке Blink. Известно, что о ней компанию 7 апреля уведомил анонимный исследователь.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Google выпустила новую версию Chrome для Windows, Mac и Linux с исправлениями для двух недавно обнаруженных уязвимостей. По данным компании, для этих багов уже доступны эксплоиты. Проблемы получили идентификаторы CVE-2021-21206 и CVE-2021-21220. Уязвимость CVE-2021-21206 была обнаружена в jаvascript-движке V8 и связана с опубликованным ранее на этой неделе RCE-эксплоитом. Напомню, что данный баг использовался для компрометации Chrome и Edge на недавно завершившемся конкурсе Pwn2Own экспертами из команды Dataflow Security, которые у итоге получили 100 000 долларов за эту уязвимость. Эксплоит же был опубликован несколькими днями позже индийским исследователем Раджвардханом Агарвалом (Rajvardhan Agarwal), который сумел найти баг, изучая патчи в исходном коде V8. В Google подтвердили, что исправление связано именно с этой проблемой, а также объяснили, что уязвимость возникала из-за некорректной проверки ненадежных входных данных в V8 для x86-64. Интересно, что Агарвал сообщил изданию The Hacker News, что существует еще одна уязвимость, исправленная в последней версии V8, патч для которой не вошел в обновленную версию Chrome. «Хотя обе проблемы различны по своей природе, обе могут использоваться для выполнения произвольного кода в процессе рендеринга. Подозреваю, что первый патч вошел в состав обновления Chrome из-за опубликованного _
CSS
запостил(а)
Laird
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: