Google on loonud Chrome'i versioonile 89.0.4389.128 värskenduse, mis parandab kaks turvaauku (CVE-2021-21206, CVE-2021-21220), mille jaoks on saadaval töökorras ärakasutamine (0-päevane). Haavatavust CVE-2021-21220 kasutati Chrome'i häkkimiseks konkursil Pwn2Own 2021.
Selle haavatavuse ärakasutamine toimub teatud viisil vormindatud WebAssembly koodi käivitamise kaudu (haavatavuse põhjuseks on WebAssembly virtuaalmasina tõrge, mis võimaldab teil kirjutada või lugeda andmeid mällu suvalisele aadressile). Märgitakse, et demonstreeritud ärakasutamine ei võimalda liivakasti isolatsioonist mööda minna ja täieõiguslik rünnak nõuab liivakastist väljumiseks mõne teise haavatavuse avastamist (sellist haavatavust demonstreeriti Windowsi jaoks võistlusel Pwn2Own 2021).
Selle probleemi ärakasutamise näide avaldati GitHubis pärast V8 mootori parandamist, kuid ootamata sellel põhineva brauseri värskenduse genereerimist (isegi kui ärakasutamist poleks avaldatud, said ründajad uuesti luua see põhineb V8 hoidlas toimunud muudatuste analüüsil, mis on juhtunud juba varem olukorra tõttu, kus V8-s on parandus juba avaldatud, kuid sellel põhinevaid tooteid pole veel värskendatud).
Lisaks võite märkida nihet Linuxi, Windowsi ja macOS-i jaoks mõeldud Chrome 90 avaldamise ajakavas. See väljalase oli kavandatud 13. aprilliks, kuid eile seda ei avaldatud ja välja anti ainult Androidi versioon. Täna loodi Chrome 90 täiendav beetaversioon. Uut väljalaskekuupäeva pole avaldatud.
Allikas: opennet.ru