Aktywnie exploitowana podatność w Chromium załatana również w Microsoft Edge Stable

Aktywnie exploitowana podatność w Chromium załatana również w Microsoft Edge Stable

Autor: Krzysztof Sulikowski

Opublikowano: 3/17/2021, 2:15 PM

Liczba odsłon: 2067

Chromium ma lukę zero-day, która jest obecnie aktywnie atakowana na świecie. CVE-2021-21193 to podatność w silniku renderowania Google Blink w rodzaju "use-after-free", co oznacza, że Blink ma trudności z czyszczeniem pamięci i może to skutkować uszkodzeniem danych i arbitralnym wykonaniem kodu. Na szczęście poprawka już nadeszła.

12 marca Google wypuścił stabilny build 89.0.4389.90 dla Chrome, łatając pięć podatności, z czego trzy o wysokim stopniu zagrożenia. Jedna z nich, wspomniana CVE-2021-21193, zasługuje na szczególną uwagę. Jest to luka w Blink, silniku przeglądarki Chrome, głównym składniku odpowiadającym za konwertowanie kodu HTML do strony internetowej, którą widzi użytkownik. A jeśli strona ta została odpowiednio spreparowana, atak może się udać.

Konsekwencją wykorzystania podatności use-after-free jest uszkodzenie danych i arbitralne wykonanie kodu, choć nie są dostępne informacje na temat tego, co właściwie wydarzało się w tym konkretnym przypadku. Google zwykle udostępnia więcej danych, gdy większość użytkowników zaktualizuje już przeglądarki. Sama podatność została zgłoszona przez anonimowego badacza 9 marca, a Google pospiesznie opracował łatkę i wypuścił ją trzy dni później. Pośpiech ten mógł być spowodowany tym, iż podatność była już aktywnie exploitowana w prawdziwym świecie.

Jako że nie tylko Google Chrome opiera się na silniku Blink, również pozostałe przeglądarki z rodziny Chromium są narażone na atak. Tydzień po wykryciu CVE-2021-21193 aktualizację otrzymał również Microsoft Edge Stable (version 89.0.774.54). Zawiera ona najnowsze aktualizacje zabezpieczeń z projektu Chromium i oczywiście jest wysoce rekomendowane, by zainstalować ją jak najszybciej.

Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży
Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży

Wydarzenia