Компания Google выпустила экстренный патч для web-браузера Google Chrome, исправляющий уязвимость нулевого дня ( CVE-2021-37973 ). Уязвимость использования после освобождения была обнаружена в системе навигации по web-страницам Portals API, позволяющей странице отображать другую страницу в качестве вставки и «выполнять плавный переход в новое состояние, где ранее вставленная страница становится документом верхнего уровня».
О проблеме сообщил Клеман Лесин (Clément Lecigne) из Google Threat Analysis Group (TAG). С начала 2021 года Google устранила в общей сложности 12 уязвимостей нулевого дня в Chrome:
CVE-2021-21148 — переполнение буфера кучи в V8;
CVE-2021-21166 — повторное использование объекта в аудио;
CVE-2021-21193 — использование после освобождения в Blink;
CVE-2021-21206 — использование после освобождения в Blink;
CVE-2021-21220 — некорректная проверка ненадежных вводимых данных в V8 для x86_64;
CVE-2021-21224 — несоответствия используемых типов данных в V8;
CVE-2021-30551 — несоответствия используемых типов данных в V8;
CVE-2021-30554 — использование после освобождения в WebGL;
CVE-2021-30563 — несоответствия используемых типов данных в V8;
CVE-2021-30632 — запись за пределами поля в V8;
CVE-2021-30633 — использование после освобождения в Indexed DB API.
Пользователям Chrome рекомендуется обновиться до последней версии (94.0.4606.61) для Windows, macOS и Linux.