Google vytvořil aktualizaci Chrome 89.0.4389.128, která opravuje dvě zranitelnosti (CVE-2021-21206, CVE-2021-21220), pro které jsou dostupné pracovní exploity (0 dní). Chyba zabezpečení CVE-2021-21220 byla použita k hacknutí prohlížeče Chrome v soutěži Pwn2Own 2021.
Zneužití této zranitelnosti se provádí prostřednictvím spuštění určitého způsobu formátovaného kódu WebAssembly (zranitelnost je způsobena chybou virtuálního stroje WebAssembly, který umožňuje zapisovat nebo číst data na libovolnou adresu v paměti). Je třeba poznamenat, že demonstrovaný exploit neumožňuje obejít izolaci sandboxu a plnohodnotný útok vyžaduje objevení další zranitelnosti k opuštění sandboxu (taková zranitelnost byla prokázána pro Windows na soutěži Pwn2Own 2021).
Příklad exploitu pro tento problém byl zveřejněn na GitHubu poté, co byla provedena oprava enginu V8, ale bez čekání na vygenerování aktualizace prohlížeče na jeho základě (i když exploit nebyl zveřejněn, útočníci byli schopni znovu vytvořit vychází z analýzy změn v repozitáři V8, k nimž došlo již dříve kvůli situaci, kdy oprava ve V8 již byla zveřejněna, ale produkty na ní založené ještě nebyly aktualizovány).
Kromě toho si můžete všimnout posunu v plánu publikování pro vydání Chrome 90 pro Linux, Windows a macOS. Toto vydání bylo naplánováno na 13. dubna, ale včera nebylo zveřejněno a byla vydána pouze verze pro Android. Dnes byla vytvořena další beta verze Chrome 90. Nové datum vydání nebylo oznámeno.
Zdroj: opennet.ru