Google Chrome 89.0.4389.128 yeniləməsini yaradıb ki, bu da iki boşluqları (CVE-2021-21206, CVE-2021-21220) aradan qaldırır, onlar üçün işlək eksplyasiyalar mövcuddur (0 gün). CVE-2021-21220 zəifliyindən Pwn2Own 2021 müsabiqəsində Chrome-u sındırmaq üçün istifadə edilib.
Bu boşluqdan istifadə formatlaşdırılmış WebAssembly kodunun müəyyən üsulunun icrası vasitəsilə həyata keçirilir (boşluq WebAssembly virtual maşınındakı xəta nəticəsində yaranır ki, bu da yaddaşdakı ixtiyari ünvana məlumat yazmağa və ya oxumağa imkan verir). Qeyd olunur ki, nümayiş etdirilmiş ekspluit qum qutusunun izolyasiyasından yan keçməyə imkan vermir və tam hüquqlu hücum qum qutusundan çıxmaq üçün başqa zəifliyin aşkar edilməsini tələb edir (belə zəiflik Windows üçün Pwn2Own 2021 müsabiqəsində nümayiş etdirilib).
Bu problem üçün eksploit nümunəsi V8 mühərrikində düzəliş edildikdən sonra GitHub-da dərc edildi, lakin onun əsasında brauzer yeniləməsinin yaradılmasını gözləmədən (hətta istismar dərc edilməmiş olsa belə, təcavüzkarlar yenidən yarada bildilər. bu, V8-də bir düzəlişin artıq dərc edildiyi, lakin ona əsaslanan məhsulların hələ yenilənmədiyi bir vəziyyətə görə əvvəllər baş vermiş V8 deposundakı dəyişikliklərin təhlilinə əsaslanır).
Əlavə olaraq, siz Linux, Windows və macOS üçün Chrome 90-ın buraxılışı üçün nəşr cədvəlində dəyişikliyi qeyd edə bilərsiniz. Bu buraxılış aprelin 13-nə planlaşdırılıb, lakin dünən dərc olunmayıb və yalnız Android üçün versiya buraxılıb. Bu gün Chrome 90-ın əlavə beta buraxılışı yaradılıb. Yeni buraxılış tarixi açıqlanmayıb.
Mənbə: opennet.ru