Chromium ma lukę zero-day, która jest obecnie aktywnie atakowana na świecie. CVE-2021-21193 to podatność w silniku renderowania Google Blink w rodzaju "use-after-free", co oznacza, że Blink ma trudności z czyszczeniem pamięci i może to skutkować uszkodzeniem danych i arbitralnym wykonaniem kodu. Na szczęście poprawka już nadeszła.
12 marca Google wypuścił stabilny build 89.0.4389.90 dla Chrome, łatając pięć podatności, z czego trzy o wysokim stopniu zagrożenia. Jedna z nich, wspomniana CVE-2021-21193, zasługuje na szczególną uwagę. Jest to luka w Blink, silniku przeglądarki Chrome, głównym składniku odpowiadającym za konwertowanie kodu HTML do strony internetowej, którą widzi użytkownik. A jeśli strona ta została odpowiednio spreparowana, atak może się udać.
Konsekwencją wykorzystania podatności use-after-free jest uszkodzenie danych i arbitralne wykonanie kodu, choć nie są dostępne informacje na temat tego, co właściwie wydarzało się w tym konkretnym przypadku. Google zwykle udostępnia więcej danych, gdy większość użytkowników zaktualizuje już przeglądarki. Sama podatność została zgłoszona przez anonimowego badacza 9 marca, a Google pospiesznie opracował łatkę i wypuścił ją trzy dni później. Pośpiech ten mógł być spowodowany tym, iż podatność była już aktywnie exploitowana w prawdziwym świecie.
Jako że nie tylko Google Chrome opiera się na silniku Blink, również pozostałe przeglądarki z rodziny Chromium są narażone na atak. Tydzień po wykryciu CVE-2021-21193 aktualizację otrzymał również Microsoft Edge Stable (version 89.0.774.54). Zawiera ona najnowsze aktualizacje zabezpieczeń z projektu Chromium i oczywiście jest wysoce rekomendowane, by zainstalować ją jak najszybciej.