Em 7 de dezembro, o Google lançou uma atualização de segurança para seu navegador Chrome 96.0.4664.93 em todas as plataformas de desktop suportadas, bem como para a versão móvel no Android.
A atualização contém principalmente patches de segurança para 20 problemas de segurança diferentes. Muitos deles têm uma classificação de risco de “alto”, que é o segundo mais importante depois de “crítico”.
A nova versão do Chrome é enviada automaticamente com as instalações atuais do Chrome em plataformas suportadas. Os usuários podem obter a atualização mais rapidamente em Menu> Ajuda> Sobre o Google Chrome. Nesse caso, uma página de informações com o número da versão atual do navegador será aberta e uma verificação e instalação subsequente das atualizações disponíveis será iniciada.
No caso da versão Android, a atualização é entregue usando o Google Play Services, portanto, ao abrir esta página no Chrome para celular, o download das atualizações não é inicializado.
O blog Chrome Releases lista todas as correções de segurança que foram identificadas por pesquisadores independentes. A maioria das vulnerabilidades foi identificada em novembro, várias em outubro e uma em agosto.
CVE-2021-4052 de alto risco: Vulnerabilidade de uso pós-memória em aplicativos da web.
CVE-2021-4053 de alto risco: Depois de dados liberados, exploit no shell front-end.
Alto risco CVE-2021-4054: Interface de segurança inválida no preenchimento automático.
CVE-2021-4055 de alto risco: Vulnerabilidade de estouro de buffer de heap em extensões.
CVE-2021-4056 de alto risco: Vulnerabilidade de incompatibilidade de tipo no módulo de carga.
CVE-2021-4057 de alto risco: Vulnerabilidade de exploração de dados API pós-livre.
CVE-2021-4058 de alto risco: Vulnerabilidade de estouro de buffer de heap em ANGLE.
Alto risco CVE-2021-4059: Validação de dados insuficiente no módulo de carregamento.
Alto risco CVE-2021-4061: Vulnerabilidade de incompatibilidade de tipo no Javascript Engine V8.
CVE-2021-4062 de alto risco: Vulnerabilidade de estouro de buffer de pilha em BFCache.
Alto risco CVE-2021-4063: Depois de liberar a vulnerabilidade de exploração de dados nas ferramentas de desenvolvedor.
Alto risco CVE-2021-4064: Após liberar a vulnerabilidade de exploração de dados na ferramenta de captura de tela.
CVE-2021-4065 de alto risco: vulnerabilidade de exploração de dados após liberação no mecanismo de preenchimento automático.
CVE-2021-4066 de alto risco: Vulnerabilidade de estouro de número inteiro de limite baixo em ANGLE.
Alto risco CVE-2021-4067: Após liberar a exploração de dados no Gerenciador de janelas.
Baixo risco CVE-2021-4068: validação insuficiente de dados não confiáveis na página nova guia.
Nenhuma das vulnerabilidades corrigidas recebeu uma classificação de gravidade crítica. O Google não menciona a exploração das vulnerabilidades corrigidas em ataques reais.
De acordo com o Google, a atualização para Android inclui melhorias de estabilidade e desempenho. Problemas de segurança corrigidos não são mencionados.
A maioria dos navegadores baseados em Chromium também são afetados por pelo menos algumas dessas vulnerabilidades. Outros navegadores nesta plataforma, como o Microsoft Edge ou Brave, também receberão atualizações de segurança em breve que abordarão esses problemas.
2021-12-07 17:47:25
Autor: Vitalii Babkin