Текущий месяц стал напряженным для разработчиков Google. Накануне корпорация выпустила новую версию своего браузера для операционных систем Windows, Mac и Linux - Chrome 90.0.4430.85. Она исправляет уязвимость нулевого дня, получившую идентификатор CVE-2021-21224. Корпорация сообщает, что уязвимость уже эксплуатируется в реальных атаках, но не приводит никаких подробностей, за исключением того, что проблема коренится в JavaScript-движке V8, который используется в браузере.

Впрочем, подробности привел исследователь компании VerSprite Inc Жозе Мартинес, который и обнаружил уязвимость. Он даже опубликовал в Twitter проверочный код для эксплуатации уязвимости (proof-of-concept - PoC). По словам исследователя, сама по себе уязвимость не может выйти за пределы песочницы – изолированной безопасной среды Chrome. Однако она может легко быть объединена в цепочку с другими существующими уязвимостями, что позволит злоумышленнику выйти из песочницы и удаленно выполнить произвольный код на пользовательском устройстве.

Стоит отметить, что CVE-2021-21224 стала уже третьей уязвимостью нулевого дня, выявленной в Google Chrome на протяжении апреля. Информация о двух предыдущих также была опубликована исследователям в Twitter. Кроме того, версия Chrome 90.0.4430.85 исправляет еще четыре уязвимости, степень угрозы которых оценена в Google как «высокая».