The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Chrome 93.0.4577.82 с устранением 0-day уязвимостей

14.09.2021 12:30

Компания Google сформировала обновление Chrome 93.0.4577.82, в котором исправлены 11 уязвимостей, в том числе две проблемы, уже применяемые злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что первая уязвимость (CVE-2021-30632) вызвана ошибкой, приводящей к записи за границу буфера в JavaScript-движке V8, а вторая проблема (CVE-2021-30633) присутствует в реализации API Indexed DB и связана с обращением к области памяти после её освобождения (use-after-free).

Среди других уязвимостей: две проблемы, вызванные обращением к памяти после её освобождения в API Selection и Permissions; неправильная обработка типов (Type Confusion) в движке Blink; переполнения буфера в прослойке ANGLE (Almost Native Graphics Layer Engine). Все уязвимости получили статус опасных. Критических проблем, которые по отдельности позволяют обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения, не выявлено.

  1. Главная ссылка к новости (https://chromereleases.googleb...)
  2. OpenNews: Релиз Chrome 93
  3. OpenNews: Chrome переведён на использование прослойки Ozone для систем с X11
  4. OpenNews: Google портирует Chrome для ОС Fuchsia
  5. OpenNews: Анализ влияния на производительность дополнений к Chrome
  6. OpenNews: Обновление Chrome 91.0.4472.164 с устранением 0-day уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/55800-chrome
Ключевые слова: chrome
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Rev (?), 12:37, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    Нихрена себе рeшето!
    Firefox'у никогда не требуется таких резких обновлений с закрытием такого количества уязвимостей!
     
     
  • 2.2, Аноним (2), 12:39, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да, ладно! часто и у ферфокса критические апдейты.
     
     
  • 3.46, Аноним (46), 11:08, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    наверное это была пост ирония
     
  • 2.3, Аноним (3), 12:40, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    https://opennet.ru/55649-firefox
    ну-ну, и месяца нет, у 92 выпуска ещё не было эксцессов правда
     
     
  • 3.4, Rev (?), 12:44, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Окей, одна дырка, но не 11.
     
     
  • 4.5, Аноним (5), 12:45, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Firefox просто не развивается
     
     
  • 5.6, Аноним (5), 12:46, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Firefox просто неуловимый Джо
     
     
  • 6.15, Аноним (2), 13:51, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    именно!
    по gs.statcounter.com доля МС Эджа больше ФФ.
     
  • 4.12, Аноним (12), 13:28, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Где больше пользователей, там больше найденных дырок.
     
     
  • 5.13, paulus (ok), 13:38, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Где больше пользователей, там больше найденных дырок.

    Сам себя-то слышал? :) Это к хромиуму могло бы быть применимо, там хоть багтрекер есть :)

     
  • 2.9, Аноним (9), 13:07, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ФФ он же на расте он полностью безопасен. Инфа сотка.
     
     
  • 3.11, пох. (?), 13:09, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    только кусок js-движка у гугля стырили. И, кстати, кодеки гугловых форматов видео.

    А на хрусте чтойта пока - пишутъ!
    Переписывают, в смысле - вот CoC уже почти готовый.

     
     
  • 4.47, Аноним (46), 11:09, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    гугл у них вообще кусок Firefox OS стырил, причем большой, так что имеют право
     
     
  • 5.50, пох. (?), 13:52, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    не стырил а на свалке истории нашел, да и там лоскутное одеяльце было из лоскутов совсем не связанных с мурзилой (то есть обычный линукс). Все что сверху у гугля совершенно свое и перпендикулярно выпилено.

    А тут копипаста именно кода. Причем очень такая забавная, с гвоздем прибитыми дефайнами того, что в штатном коде мозилы делает mozconfig. Видимо, копипастер не был в курсе.


     
  • 2.48, Артурчик (?), 11:11, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тупо пушто а фф критические места на русте оберегают его от уязвимостей
     

  • 1.7, Ананоним (?), 12:51, 14/09/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –2 +/
     
     
  • 2.10, Аноним (9), 13:07, 14/09/2021 Скрыто модератором
  • –1 +/
     
     
  • 3.35, Аноним (-), 23:59, 14/09/2021 Скрыто модератором
  • +/
     
  • 2.26, Аноним (26), 16:27, 14/09/2021 Скрыто модератором
  • +1 +/
     

     ....ответы скрыты модератором (3)

  • 1.8, Аноним (8), 12:59, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Не баги, а технические отверстия АНБ.
     
     
  • 2.21, Пофигист (?), 15:19, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не отверстие в пятой точке, а технологическое подключение служб безопасности
     

  • 1.14, Аноним (14), 13:41, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Пхаха... Выход за границы буфера и use-after-free. Причем уже использующиеся in the wild.

    Просто какое-то  ̶b̶u̶l̶l̶s̶h̶i̶t̶ с++ бинго. И как-то матерым гугловым погромистам ни smart pointer'ы, ни статический анализ не помог. К ним нужно срочно отправить пару опеннетовский Ыкспертов у которых "никогда ничего не падает" чтобы помогли!

     
     
  • 2.24, Аноним (24), 15:38, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >И как-то матерым гугловым погромистам ни smart pointer'ы, ни статический анализ не помог.
    > К ним нужно срочно отправить пару опеннетовский Ыкспертов у которых "никогда ничего не падает" чтобы помогли!

    Это сильно масштабно, дивизию opennet'4ikoff снаряжать..

    Варианты направить:

    - взвод DJB'ов
    или
    - роту rust'ов - ну чтобы раставляли "знаки препинания" для компилера, только где их найдешь, матерых - матeрые, все пристроены и в ынтырпрайзных масштабaх даже северней Шри-Ланки не плохо водятся, там сплошные "Yes - seniors".., как-ни крути второй jav' ы не выходит..; и вообще, так, в порядке юмора, от rust'a подозрительно разит белым cyпepмaтизмом, штырит нeинклюзивнocтью и т.д.

     
     
  • 3.25, Аноним (24), 15:42, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    FIX:
    >>все пристроены и в ынтырпрайзных масштабaх даже северней Шри-Ланки не плохо водятся,

    все пристроены и в ынтырпрайзных масштабaх даже северней Шри-Ланки залежей не наблюдается,

     
  • 2.30, Аноним (-), 17:47, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Они ещё хотят цикл обновлений Chrome уменьшить до 1 раза в 3-4 недели...
     
     
  • 3.38, Аноним (38), 08:29, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это слишком много. Надо 1 раз в неделю делать.
     

  • 1.16, Ананоним (?), 13:54, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хоп-хоп, и в продакшн! Ну assert придумали для трусов!
     
     
  • 2.32, Аноним (32), 18:53, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тупые гуглокодеры не знают assert?
     

  • 1.17, Ананоним (?), 13:58, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Вообще все эти так называемые новости об отверстиях в ПО становятся такими неотделимыми от жизни... Ведь если создать непробиваемый продукт, то он сразу же переходит из разряда поделка для "масс" в разряд "средство специального назначения". А здесь уже всё совсем по-другому. И тобой могут заинтересоваться соответствующие службы. Помните что сделали с проектом truecrypt?
     
     
  • 2.31, Аноним (-), 17:53, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что сделали? Закрыли вместе с XP из-за BitLocker (потому что BitLocker'а не было там), хотя авторы VeraCrypt до сих пор свой опен-сорс проект развивают. Хочешь - скачивай TrueCrypt и шифруй себе свободно.
     

  • 1.19, Аноним (19), 14:15, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Тем временем в Debian https://tracker.debian.org/pkg/chromium
     
     
  • 2.37, лютый жабби (?), 08:25, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Тем временем в Debian https://tracker.debian.org/pkg/chromium

    Это новость? Штабильян-с..... хотя на них иногда что-то находит и они бампают сразу на несколько версий. Во времена chromium 83 было так же...

     

  • 1.20, Хинкус (?), 15:05, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зато в Ubuntu до сих пор 92 версия, собирать лень, а Телеметрзиллу не лень
     
  • 1.22, Аноним (22), 15:23, 14/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Вот что бывает когда за нормальный C/C++ пускают веб макак не умеющих рабоать с памятью.
     
     
  • 2.23, Аноним (23), 15:32, 14/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Покажи хотя бы один проект на С/С++, который пишется не "веб-макаками", а никогда не ошибающимися и не бьющими память профессионалами

    А, подожжи, твое сообщение просто жирный троллинг, да?

     

  • 1.49, Аноним (49), 11:39, 15/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    кста, firefox уже визуально медленнее странички грузит chromium'a.
     
     
  • 2.55, anonymous (??), 21:30, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    УЖЕ !?!?!?!?!?!?
     
     
  • 3.56, кек (?), 23:14, 15/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тоже словил лулз с этого, не знал, что "всегда" это "уже")
     
  • 2.58, Аноним (58), 04:55, 16/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что за наглая ложь, с приходом webrender хром отстаёт от firefox в рендеринге.
     
     
  • 3.66, Аноним (-), 22:10, 17/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Что за наглая ложь, с приходом webrender хром отстаёт от firefox в рендеринге.

    И как оно поможет против условного ютубовского
    if (browser != chrome) delay(random(10))
    ?
    Гуглу устроить "подлянку" - как раз плюнуть:
    https://www.opennet.ru/opennews/art.shtml?num=50565
    > В июле 2018 года Mozilla Program Manager Крис Петерсон обвинил Google в намеренном снижении производительности YouTube в Firefox. Он показал, что загрузка страниц YouTube в 5 раз медленнее в Firefox и Edge, чем в Chrome, из-за того, что редизайн Polymer на YouTube основан на устаревшем Shadow DOMv0 API, реализованном только в Chrome.

    Тем более, сейчас и "подлянки" стали не нужны - "макаки" оптимизируют и сайты и фреймворки в первую очередь для хромодвижка.

     

  • 1.70, Аноним (-), 19:50, 18/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучшие свободные альтернативы
    https://youtu.be/r3u5EczO9oU
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру