Guglo kreis ĝisdatigon al Chrome 89.0.4389.128, kiu riparas du vundeblecojn (CVE-2021-21206, CVE-2021-21220), por kiuj funkcias ekspluatoj disponeblas (0-tago). La vundebleco CVE-2021-21220 estis uzata por haki Chrome ĉe la konkurso Pwn2Own 2021.
La ekspluatado de ĉi tiu vundebleco estas efektivigita per la ekzekuto de certa maniero de formatita WebAssembly-kodo (la vundebleco estas kaŭzita de eraro en la virtuala maŝino WebAssembly, kiu permesas vin skribi aŭ legi datumojn al arbitra adreso en memoro). Oni rimarkas, ke la pruvita ekspluato ne ebligas preterpasi izoladon de sablokesto kaj plena atako postulas la malkovron de alia vundebleco por eliri la sablokeston (tia vundebleco estis pruvita por Vindozo ĉe la konkurso Pwn2Own 2021).
Ekzemplo de ekspluatado por ĉi tiu problemo estis publikigita sur GitHub post kiam riparo estis farita al la V8-motoro, sed sen atendi ke retumila ĝisdatigo bazita sur ĝi estos generita (eĉ se la ekspluato ne estis publikigita, atakantoj povis rekrei). ĝi baziĝis sur analizo de ŝanĝoj en la deponejo V8, kio jam okazis pli frue pro situacio, kie solvo en V8 jam estis publikigita, sed produktoj bazitaj sur ĝi ankoraŭ ne estis ĝisdatigitaj).
Aldone, vi povas noti la ŝanĝon en la eldonhoraro por la liberigo de Chrome 90 por Linukso, Vindozo kaj macOS. Ĉi tiu eldono estis planita por la 13-a de aprilo, sed ne estis publikigita hieraŭ, kaj nur la versio por Android estis publikigita. Plia beta-eldono de Chrome 90 estis formita hodiaŭ. Nova eldondato ne estis anoncita.
fonto: opennet.ru