Google-k Chrome 89.0.4389.128 eguneratze bat sortu du, bi ahultasun konpontzen dituena (CVE-2021-21206, CVE-2021-21220), eta horretarako erabilgarri dauden ustiapenak (0 egunekoa). CVE-2021-21220 ahultasuna Chrome hackeatzeko erabili zen Pwn2Own 2021 lehiaketan.
Ahulgarritasun honen ustiapena WebAssembly kodea formateatutako modu jakin baten exekuzioaren bidez gauzatzen da (ahultasuna WebAssembly makina birtualean izandako errore batek eragiten du, eta horri esker, memoriako helbide arbitrario batean datuak idazteko edo irakurtzeko aukera ematen du). Kontuan izan da frogatutako ustiapenak ez duela onartzen sandbox isolamendua saihesten eta erabateko eraso batek beste ahultasun bat aurkitu behar duela sandboxetik irteteko (ahultasun hori Windows-entzat frogatu zen Pwn2Own 2021 lehiaketan).
Arazo honen ustiapen baten adibide bat GitHub-en argitaratu zen V8 motorra konponketa bat egin ondoren, baina horretan oinarritutako arakatzailearen eguneratze bat sortuko itxaron gabe (explotazioa argitaratu ez bazen ere, erasotzaileek birsortu ahal izan zuten). V8 biltegian egindako aldaketen analisian oinarritzen da, lehenago gertatu dena V8-n konponketa bat argitaratu den egoera batengatik, baina horretan oinarritutako produktuak oraindik eguneratu ez diren).
Gainera, Linux, Windows eta macOS-erako Chrome 90 kaleratzeko argitalpen-egutegian izandako aldaketa nabari dezakezu. Argitalpen hau apirilaren 13rako aurreikusita zegoen, baina atzo ez zen argitaratu, eta Androiderako bertsioa bakarrik kaleratu zen. Chrome 90-ren beta bertsio gehigarri bat sortu da gaur. Ez da kaleratze data berririk iragarri.
Iturria: opennet.ru