Цього тижня Google випустила чергове оновлення браузера Chrome, завдання якому усунула ще одну серйозну уразливість в JavaScript-движку V8.

За останні місяці для Chrome вже стали звичними часті патчі, оскільки “дірки” у безпеці інтернет-браузера знаходять доволі часто.

Нова уразливість отримала ідентифікатор CVE-2021-21227 і високу міру небезпеки. Про проблему Google повідомив дослідник з китайської компанії Singular Security Lab Геньмінь Лью, пише Security Week.

Як наслідок інтернет-гігант виплатив фахівцеві $15 000 і описав виявлену уразливість як “недостатню валідацію даних в V8”.

Як пояснив Лью, потенційний хакер може задіяти баг для віддаленого виконання коду в браузері цільового користувача. Експерт також підкреслив, що у даному випадку зловмисник не зможе просто так вийти за межі вбудованої в Chrome пісочниці.

Лью провів паралель між свіжою уразливістю і раніше виявленими CVE-2020-16040 (пропатчили в грудні 2020 року) і CVE-2020-15965 (пропатчили у вересні 2020 року). Ці баги теж зачіпають движок V8 і мають високу ступінь ризику для кінцевого користувача.

Нагадаємо, що минулого тижня вийшла збірка Google Chrome під номером 90.0.4430.85. З її релізом розробники усунули небезпечну 0-day уразливість, яку зловмисники експлуатували в реальних атаках.

А двома тижнями раніше фахівець у галузі кібербезпеки виклав у Twitter експлойт для другої 0-day в Chrome і Edge за тиждень.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ

Онлайн-шопінг у соцмережах: як не бути ошуканим?

Як таємно спілкуватися у месенджері Telegram на iOS та Android? ІНСТРУКЦІЯ

Як правильно вибрати ноутбук? ПОРАДИ

Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ

Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.

Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої ​​кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.