Google on vÀlja andnud Chrome'i vÀrskenduse 89.0.4389.128, mis parandab kaks haavatavust (CVE-2021-21206 ja CVE-2021-21220), millele on saadaval toimivad nullpÀeva haavatavused. CVE-2021-21220 abil hÀkiti Chrome'i Pwn2Own 2021 vÔistluse ajal.
Haavatavust Ă€ra kasutades kĂ€ivitatakse spetsiaalselt loodud WebAssembly kood (haavatavuse pĂ”hjustab WebAssembly virtuaalmasina viga, mis vĂ”imaldab andmeid kirjutada vĂ”i lugeda suvaliselt mĂ€luaadressilt). MĂ€rgitakse, et nĂ€idatud Ă€rakasutamine ei möödu liivakasti isolatsioonist ning tĂ€ieulatuslik rĂŒnnak nĂ”uab liivakastist pÀÀsemiseks teise haavatavuse avastamist (sellist haavatavust demonstreeriti Pwn2Own 2021 vĂ”istlusel). Windows).
Selle probleemi nĂ€idisĂ€rakasutamine avaldati GitHubis pĂ€rast V8 mootori paranduse avaldamist, kuid enne sellel pĂ”hinevate brauserivĂ€rskenduste avaldamist (isegi kui Ă€rakasutamist poleks avaldatud, oleksid rĂŒndajad saanud selle V8 repositooriumi muudatuste pĂ”hjal uuesti luua, mis on varem juhtunud olukorra tĂ”ttu, kus V8 parandus on juba avaldatud, kuid sellel pĂ”hinevaid tooteid pole veel uuendatud).
Lisaks vÀÀrib mÀrkimist Chrome 90 vÀljalaskegraafiku muutus. Linux, Windows О macOSSee number oli kavandatud ilmuma 13. aprillil, kuid seda ei avaldatud eile ja ainult selle number AndroidTÀna avaldati Chrome 90 tÀiendav beetaversioon. Uut vÀljalaskekuupÀeva pole veel avaldatud.
Allikas: opennet.ru
