Команда разработки Google Chrome выпустила 12 марта ряд хотфиксов для stable-версии Chrome 89, релиз которой состоялся 9 марта. Изменения затронули все основные платформы, а их основной целью было устранение найденных разработчиками уязвимостей.
В общей сложности патчем 89.0.4389.90 было закрыто пять экспоитов различной степени угрозы, в том числе и одна 0-day уязвимость под кодом CVE-2021-21193. известно, что уязвимость связана с обращением к освобожденной области памяти в браузерном движке Blink.
Проблеме был присвоен высокий уровень опасности, т.е. обозначено, что уязвимость не позволяет обойти все уровни защиты браузера и ее недостаточно для выполнения кода за пределами sandbox-окружения. То есть, сама по себе уязвимость в Chrome не позволяет обойти sandbox-окружение и для полноценной атаки требуется применение в связке с ней ещё одной уязвимости в операционной системе.
Еще два эксплоита из пяти, которые шли с приоритетом HIGH — CVE-2021-21192 и CVE-2021-21191 — были закрыты при участии сторонних специалистов. Первый оценили в 500$ по программе bug bounty, второй идет с пометкой TBD. Информация по всем трем уязвимостям пока закрыта для широкого доступа — специалисты по информационной безопасности ждут, пока достаточное количество пользователей получит обновление браузера.
