Il 7 dicembre, Google ha rilasciato un aggiornamento di sicurezza per il suo browser Chrome 96.0.4664.93 su tutte le piattaforme desktop supportate, nonché per la versione mobile su Android.
L'aggiornamento contiene principalmente patch di sicurezza per 20 diversi problemi di sicurezza. Molti di loro hanno un grado di rischio "alto", che è il secondo più importante dopo "critico".
La nuova versione di Chrome viene fornita automaticamente con le installazioni di Chrome correnti sulle piattaforme supportate. Gli utenti possono ottenere l'aggiornamento più velocemente andando su Menu> Guida> Informazioni su Google Chrome. In questo caso si aprirà una pagina informativa con il numero della versione corrente del browser e si avvierà la verifica e la successiva installazione degli aggiornamenti disponibili.
Nel caso della versione Android, l'aggiornamento viene fornito utilizzando i servizi di Google Play, quindi quando apri questa pagina in Chrome mobile, il download degli aggiornamenti non viene inizializzato.
Il blog Chrome Releases elenca tutte le correzioni di sicurezza che sono state identificate da ricercatori indipendenti. La maggior parte delle vulnerabilità è stata identificata a novembre, diverse a ottobre e una ad agosto.
CVE-2021-4052 ad alto rischio: Vulnerabilità post-utilizzo della memoria nelle applicazioni Web.
CVE-2021-4053 ad alto rischio: dopo l'exploit dei dati liberati nella shell front-end.
CVE-2021-4054 ad alto rischio: interfaccia di sicurezza non valida al completamento automatico.
CVE-2021-4055 ad alto rischio: vulnerabilità di overflow del buffer di heap nelle estensioni.
CVE-2021-4056 ad alto rischio: vulnerabilità di mancata corrispondenza dei tipi nel modulo di carico.
CVE-2021-4057 ad alto rischio: vulnerabilità allo sfruttamento dei dati API post-gratuita.
CVE-2021-4058 ad alto rischio: Vulnerabilità di overflow del buffer di heap in ANGLE.
CVE-2021-4059 ad alto rischio: convalida dei dati insufficiente nel modulo di carico.
CVE-2021-4061 ad alto rischio: vulnerabilità di mancata corrispondenza dei tipi nel motore JavaScript V8.
CVE-2021-4062 ad alto rischio: vulnerabilità di overflow del buffer di heap in BFCache.
CVE-2021-4063 ad alto rischio: dopo aver liberato la vulnerabilità legata allo sfruttamento dei dati negli strumenti per sviluppatori.
CVE-2021-4064 ad alto rischio: dopo aver liberato la vulnerabilità legata allo sfruttamento dei dati nello strumento Screenshot.
CVE-2021-4065 ad alto rischio: vulnerabilità di sfruttamento dei dati dopo la liberazione nel meccanismo di completamento automatico.
CVE-2021-4066 ad alto rischio: Vulnerabilità di overflow di numeri interi con limite basso nell'ANGOLO.
CVE-2021-4067 ad alto rischio: dopo aver liberato l'exploit dei dati in Window Manager.
CVE-2021-4068 a basso rischio: convalida insufficiente dei dati non attendibili nella nuova scheda.
Nessuna delle vulnerabilità con patch ha ricevuto un livello di gravità critico. Google non menziona lo sfruttamento delle vulnerabilità patchate in attacchi reali.
Secondo Google, l'aggiornamento per Android include miglioramenti della stabilità e delle prestazioni. I problemi di sicurezza risolti non sono menzionati.
Anche la maggior parte dei browser basati su Chromium è interessata da almeno alcune di queste vulnerabilità. Anche altri browser su questa piattaforma, come Microsoft Edge o Brave, riceveranno presto aggiornamenti di sicurezza che risolvono questi problemi.
2021-12-07 17:47:25
Autore: Vitalii Babkin