Google het 'n opdatering vir Chrome 89.0.4389.128 geskep, wat twee kwesbaarhede regstel (CVE-2021-21206, CVE-2021-21220), waarvoor werkende misbruik beskikbaar is (0-dag). Die CVE-2021-21220-kwesbaarheid is gebruik om Chrome by die Pwn2Own 2021-kompetisie te hack.
Die ontginning van hierdie kwesbaarheid word uitgevoer deur die uitvoering van 'n sekere manier van geformateerde WebAssembly-kode (die kwesbaarheid word veroorsaak deur 'n fout in die WebAssembly virtuele masjien, wat jou toelaat om data na 'n arbitrΓͺre adres in die geheue te skryf of te lees). Daar word kennis geneem dat die gedemonstreerde uitbuiting nie toelaat dat 'n mens sandbox-isolasie omseil nie en 'n volwaardige aanval vereis die ontdekking van 'n ander kwesbaarheid om die sandbox te verlaat (so 'n kwesbaarheid is gedemonstreer vir Windows by die Pwn2Own 2021-kompetisie).
'n Voorbeeld van 'n uitbuiting vir hierdie probleem is op GitHub gepubliseer nadat 'n regstelling aan die V8-enjin gemaak is, maar sonder om te wag vir 'n blaaieropdatering gebaseer daarop om gegenereer te word (selfs al was die ontginning nie gepubliseer nie, kon aanvallers dit herskep dit gebaseer op ontleding van veranderinge in die V8-bewaarplek, wat reeds vroeΓ«r gebeur het as gevolg van 'n situasie waar 'n regstelling in V8 reeds gepubliseer is, maar produkte wat daarop gebaseer is, is nog nie opgedateer nie).
Boonop kan u let op die verskuiwing in die publikasieskedule vir die vrystelling van Chrome 90 vir Linux, Windows en macOS. Hierdie vrystelling was geskeduleer vir 13 April, maar is nie gister gepubliseer nie, en slegs die weergawe vir Android is vrygestel. 'n Bykomende beta-vrystelling van Chrome 90 is vandag gevorm. 'n Nuwe vrystellingdatum is nie aangekondig nie.
Bron: opennet.ru