Google har oprettet en opdatering til Chrome 89.0.4389.128, som løser to sårbarheder (CVE-2021-21206, CVE-2021-21220), for hvilke der er tilgængelige arbejdsudnyttelser (0-dages). CVE-2021-21220-sårbarheden blev brugt til at hacke Chrome ved Pwn2Own 2021-konkurrencen.
Udnyttelsen af denne sårbarhed udføres ved at udføre en bestemt måde for formateret WebAssembly-kode (sårbarheden er forårsaget af en fejl i den virtuelle WebAssembly-maskine, som giver dig mulighed for at skrive eller læse data til en vilkårlig adresse i hukommelsen). Det bemærkes, at den påviste udnyttelse ikke tillader en at omgå sandkasseisolering, og et fuldgyldigt angreb kræver opdagelse af en anden sårbarhed for at forlade sandkassen (en sådan sårbarhed blev demonstreret for Windows ved Pwn2Own 2021-konkurrencen).
Et eksempel på en udnyttelse af dette problem blev offentliggjort på GitHub efter en rettelse til V8-motoren, men uden at vente på, at en browseropdatering baseret på den blev genereret (selvom udnyttelsen ikke var blevet offentliggjort, var angribere i stand til at genskabe den er baseret på analyse af ændringer i V8-lageret, hvilket allerede er sket tidligere på grund af en situation, hvor en rettelse i V8 allerede er blevet offentliggjort, men produkter baseret på det endnu ikke er blevet opdateret).
Derudover kan du bemærke skiftet i udgivelsesplanen for udgivelsen af Chrome 90 til Linux, Windows og macOS. Denne udgivelse var planlagt til den 13. april, men blev ikke offentliggjort i går, og kun versionen til Android blev frigivet. En yderligere betaversion af Chrome 90 blev dannet i dag. En ny udgivelsesdato er ikke blevet annonceret.
Kilde: opennet.ru