Google ha recentemente aggiornato Google Chrome e ora è disponibile per il download. Se stai ancora utilizzando la versione precedente, devi eseguire immediatamente l’aggiornamento a Chrome 89 in quanto puoi eseguire le attività di navigazione sui tuoi sistemi operativi Windows, Mac e Linux in modo sicuro.
La versione 89.0.4389.90 di Chrome offre un’importante correzione della vulnerabilità Zero-Day CVE-2021-21193. Questa vulnerabilità zero-day è descritta come Use after free in Blink. È stato segnalato da un ricercatore esterno.
Google non ha fornito molti dettagli sulle correzioni di bug nella versione di Chrome. Tuttavia, afferma che ci sono segnalazioni di questa vulnerabilità è già stata sfruttata in natura.
La costante di aggiornamento di un totale di cinque correzioni. Tre delle vulnerabilità, come riportato da un ricercatore esterno, sono [$ 500] [1167357] High CVE-2021-21191, [$ TBD] [1181387] High CVE-2021-21192 e [$ TBD] [1186287] High CVE-2021-21193 .
Raven (@raid_akame ha segnalato CVE-2021-21191: – utilizzo dopo free in in WebRTC. La vulnerabilità CVE-2021-21192 causa un overflow del buffer di heap nei gruppi di schede. È stata segnalata da Abdulrahman Alqabandi, Microsoft Browser Vulnerability Research il 2021-02- 23. Il “Use after free in Blink” (aka CVE-2021-21193) è stato segnalato da Anonymous il 2021-03-09.
Il trabocco del burro di heap in V8 è stato corretto un mese fa prima di 88.0.4324.150. Questo exploit di vulnerabilità potrebbe consentire un attacco remoto per il danneggiamento dell’heap tramite una pagina HTML predisposta.
Google aggiungerà presto una nuova funzionalità di sicurezza a MS Edge e al browser Chrome per proteggerlo da eventuali vulnerabilità.
Questa nuova funzionalità è CET o chiamata Control-flow Enforcement Technology, introdotta nel 2016. L’anno scorso è stata aggiunta alla CPU di 11a generazione di Intel. Si concentra sulla schermatura dei programmi da ROP o Return Oriented Programming e JOP o Jump Oriented Programming.
Entrambi questi attacchi si riferiscono al bypass delle sandbox dei browser Web o all’esecuzione remota. Il CET, con l’aiuto dell’Intel, bloccherà tali azioni da parte loro.