Google a publié la mise à jour Chrome 89.0.4389.128, qui corrige deux vulnérabilités (CVE-2021-21206 et CVE-2021-21220) pour lesquelles des exploits zero-day fonctionnels étaient disponibles. La vulnérabilité CVE-2021-21220 a été utilisée pour pirater Chrome lors de la compétition Pwn2Own 2021.
Cette vulnérabilité est exploitée par l'exécution d'un code WebAssembly spécialement conçu (elle résulte d'une erreur dans la machine virtuelle WebAssembly permettant l'écriture ou la lecture de données à une adresse mémoire arbitraire). Il est à noter que l'exploit présenté ne contourne pas l'isolation du bac à sable et qu'une attaque complète nécessite la découverte d'une autre vulnérabilité pour s'en échapper (une telle vulnérabilité a été démontrée lors de la compétition Pwn2Own 2021). Windows).
Un exemple d'exploitation de cette faille a été publié sur GitHub après la publication d'un correctif pour le moteur V8, mais avant la publication des mises à jour des navigateurs qui en dépendent (même si l'exploitation n'avait pas été publiée, les attaquants auraient pu la recréer à partir des modifications apportées au dépôt V8, ce qui s'est déjà produit dans une situation où un correctif pour V8 avait déjà été publié, mais où les produits qui en dépendaient n'avaient pas encore été mis à jour).
De plus, il convient de noter le changement de calendrier de sortie de Chrome 90 pour Linux, Windows и macOSCe numéro était prévu pour le 13 avril, mais n'a pas été publié hier, et seule la version du AndroidUne nouvelle version bêta de Chrome 90 a été publiée aujourd'hui. Aucune nouvelle date de sortie n'a été annoncée.
Source: opennet.ru
