Google informo este lunes a los usuarios de una actualización para el navegador Chorme a la versión 93.0.4577.82 para Windows, Mac y Linux para corregir once vulnerabilidades de seguridad, dos de las cuales son Zero-Days que tienen exploits y se están explotando activamente: CVE-2021-30632 y CVE-2021-30633.
- Alto – CVE-2021-30632: Escritura fuera de límites en V8 (JavaScript motor). Reportado por Anonymous el 2021-09-08
- Alto – CVE-2021-30633: Úselo después de gratis en la API de base de datos indexada. Reportado por Anonymous el 2021-09-08
Se recomienda actualizar a la brevedad a la versión 93.0.4577.82, disponible tanto a través de la función de actualización integrada como a través del sitio web oficial. Los usuarios pueden comprobar qué versión están ejecutando haciendo clic en el botón “Acerca de Google Chrome” en la sección de ayuda del navegador.
- [$ 7500] [ 1237533 ] Alto CVE-2021-30625: Úselo después de gratis en la API de selección. Reportado por Marcin Towalski de Cisco Talos el 2021-08-06
- [$ 7500] [ 1241036 ] Alto CVE-2021-30626: Acceso a memoria fuera de los límites en ANGLE. Reportado por Jeonghoon Shin de Theori el 2021-08-18
- [$ 5000] [ 1245786 ] Alto CVE-2021-30627: Confusión de tipos en el diseño de Blink. Reportado por Aki Helin de OUSPG el 2021-09-01
- [$ TBD] [ 1241123 ] Alto CVE-2021-30628: desbordamiento del búfer de pila en ANGLE. Reportado por Jaehun Jeong (@ n3sk) de Theori el 2021-08-18
- [$ TBD] [ 1243646 ] Alto CVE-2021-30629: Usar después de gratis en Permisos. Reportado por Weipeng Jiang (@Krace) del Equipo Codesafe de Legendsec en Qi’anxin Group el 2021-08-26
- [$ TBD] [ 1244568 ] Alto CVE-2021-30630: Implementación inadecuada en Blink. Reportado por SorryMybad (@ S0rryMybad) de Kunlun Lab el 2021-08-30
- [$ TBD] [ 1246932 ] Alto CVE-2021-30631: Confusión de tipos en el diseño de Blink. Reportado por Atte Kettunen de OUSPG el 2021-09-06
- [$ TBD] [ 1247763 ] Alto CVE-2021-30632: Escritura fuera de límites en V8. Reportado por Anonymous el 2021-09-08
- [$ TBD] [ 1247766 ] Alto CVE-2021-30633: usar después de gratis en la API de base de datos indexada. Reportado por Anonymous el 2021-09-08
- [ 1249027 ] Varias correcciones de auditorías internas, fuzzing y otras iniciativas
