Naghimo ang Google og update sa Chrome 89.0.4389.128, nga nag-ayo sa duha ka mga kahuyangan (CVE-2021-21206, CVE-2021-21220), diin magamit ang mga pagpahimulos sa pagtrabaho (0-adlaw). Ang kahuyangan sa CVE-2021-21220 gigamit sa pag-hack sa Chrome sa kompetisyon sa Pwn2Own 2021.
Ang pagpahimulos niini nga pagkahuyang gihimo pinaagi sa pagpatuman sa usa ka piho nga paagi sa giporma nga WebAssembly code (ang pagkahuyang tungod sa usa ka sayup sa WebAssembly virtual machine, nga nagtugot kanimo sa pagsulat o pagbasa sa datos sa usa ka arbitraryong adres sa memorya). Namatikdan nga ang gipakita nga pagpahimulos wala magtugot sa usa nga makalikay sa pag-inusara sa sandbox ug ang usa ka hingpit nga pag-atake nanginahanglan pagdiskubre sa lain nga pagkahuyang aron makagawas sa sandbox (ang ingon nga pagkahuyang gipakita alang sa Windows sa kompetisyon sa Pwn2Own 2021).
Usa ka pananglitan sa usa ka pagpahimulos alang niini nga problema gipatik sa GitHub human ang usa ka pag-ayo gihimo sa V8 nga makina, apan wala maghulat alang sa usa ka pag-update sa browser nga gibase niini nga mamugna (bisan kung ang pagpahimulos wala pa mamantala, ang mga tig-atake nakahimo sa paghimo pag-usab kini base sa pag-analisar sa mga kausaban sa V8 repository, nga nahitabo na sa sayo pa tungod sa usa ka sitwasyon diin ang usa ka fix sa V8 na-publish na, apan ang mga produkto nga gibase niini wala pa ma-update).
Dugang pa, mahimo nimong matikdan ang pagbalhin sa iskedyul sa publikasyon alang sa pagpagawas sa Chrome 90 alang sa Linux, Windows ug macOS. Ang kini nga pagpagawas gieskedyul alang sa Abril 13, apan wala gipatik kagahapon, ug ang bersyon ra alang sa Android ang gipagawas. Usa ka dugang nga beta nga pagpagawas sa Chrome 90 ang naporma karong adlawa. Usa ka bag-ong petsa sa pagpagawas wala pa gipahibalo.
Source: opennet.ru