Η Google κυκλοφόρησε την ενημέρωση 89.0.4389.128 του Chrome, η οποία διορθώνει δύο ευπάθειες (CVE-2021-21206 και CVE-2021-21220) για τις οποίες υπάρχουν διαθέσιμα λειτουργικά exploits zero-day. Το CVE-2021-21220 χρησιμοποιήθηκε για την παραβίαση του Chrome κατά τη διάρκεια του διαγωνισμού Pwn2Own 2021.
Η ευπάθεια αξιοποιείται με την εκτέλεση ειδικά κατασκευασμένου κώδικα WebAssembly (η ευπάθεια προκαλείται από ένα σφάλμα στην εικονική μηχανή WebAssembly που επιτρέπει την εγγραφή ή την ανάγνωση δεδομένων από μια αυθαίρετη διεύθυνση μνήμης). Σημειώνεται ότι η ευπάθεια που εμφανίζεται δεν παρακάμπτει την απομόνωση του sandbox και μια πλήρης επίθεση απαιτεί την ανακάλυψη μιας άλλης ευπάθειας για να ξεφύγει από το sandbox (μια τέτοια ευπάθεια επιδείχθηκε στον διαγωνισμό Pwn2Own 2021). Windows).
Ένα παράδειγμα εκμετάλλευσης για αυτό το ζήτημα δημοσιεύτηκε στο GitHub μετά την κυκλοφορία μιας επιδιόρθωσης για τη μηχανή V8, αλλά πριν από την κυκλοφορία των ενημερώσεων του προγράμματος περιήγησης που βασίζονται σε αυτήν (ακόμα κι αν η εκμετάλλευση δεν είχε δημοσιευτεί, οι εισβολείς θα μπορούσαν να την αναδημιουργήσουν με βάση τις αλλαγές στο αποθετήριο V8, κάτι που έχει συμβεί και στο παρελθόν λόγω μιας κατάστασης όπου μια επιδιόρθωση για το V8 είχε ήδη δημοσιευτεί, αλλά τα προϊόντα που βασίζονται σε αυτήν δεν είχαν ακόμη ενημερωθεί).
Επιπλέον, αξίζει να σημειωθεί η αλλαγή στο πρόγραμμα κυκλοφορίας του Chrome 90 για... Linux, Windows и macOSΑυτό το τεύχος είχε προγραμματιστεί για τις 13 Απριλίου, αλλά δεν δημοσιεύτηκε χθες, και μόνο η έκδοση για AndroidΜια επιπλέον έκδοση beta του Chrome 90 κυκλοφόρησε σήμερα. Δεν έχει ανακοινωθεί νέα ημερομηνία κυκλοφορίας.
Πηγή: opennet.ru
