أنشأت Google تحديثًا لمتصفح Chrome 89.0.4389.128، والذي يعمل على إصلاح اثنتين من نقاط الضعف (CVE-2021-21206، وCVE-2021-21220)، والتي تتوفر لهما برمجيات استغلال الثغرات (0 يوم). تم استخدام الثغرة الأمنية CVE-2021-21220 لاختراق Chrome في مسابقة Pwn2Own 2021.
يتم استغلال هذه الثغرة الأمنية من خلال تنفيذ طريقة معينة لتعليمات WebAssembly البرمجية المنسقة (تحدث الثغرة الأمنية بسبب خطأ في الجهاز الظاهري WebAssembly، والذي يسمح لك بكتابة أو قراءة البيانات إلى عنوان عشوائي في الذاكرة). تجدر الإشارة إلى أن الاستغلال الموضح لا يسمح لأحد بتجاوز عزل وضع الحماية ويتطلب الهجوم الكامل اكتشاف ثغرة أمنية أخرى للخروج من وضع الحماية (تم عرض مثل هذه الثغرة الأمنية لنظام التشغيل Windows في مسابقة Pwn2Own 2021).
تم نشر مثال على استغلال لهذه المشكلة على GitHub بعد إجراء إصلاح على محرك V8، ولكن دون انتظار إنشاء تحديث للمتصفح يعتمد عليه (حتى لو لم يتم نشر استغلال، كان المهاجمون قادرين على إعادة إنشاء يعتمد ذلك على تحليل التغييرات في مستودع V8، والذي حدث بالفعل في وقت سابق بسبب الموقف الذي تم فيه نشر الإصلاح في V8 بالفعل، ولكن لم يتم تحديث المنتجات المستندة إليه بعد).
بالإضافة إلى ذلك، يمكنك ملاحظة التحول في جدول النشر لإصدار Chrome 90 لأنظمة التشغيل Linux وWindows وmacOS. كان من المقرر إصدار هذا الإصدار في 13 أبريل، ولكن لم يتم نشره بالأمس، وتم إصدار الإصدار المخصص لنظام Android فقط. تم اليوم إصدار إصدار تجريبي إضافي من Chrome 90. ولم يتم الإعلان عن تاريخ إصدار جديد.
المصدر: opennet.ru