Google hat in update makke foar Chrome 89.0.4389.128, dy't twa kwetsberens reparearret (CVE-2021-21206, CVE-2021-21220), wêrfoar wurkjende eksploaten beskikber binne (0-day). De kwetsberens fan CVE-2021-21220 waard brûkt om Chrome te hacken by de Pwn2Own 2021-kompetysje.
De eksploitaasje fan dizze kwetsberens wurdt útfierd troch it útfieren fan in bepaalde manier fan opmakke WebAssembly-koade (de kwetsberens wurdt feroarsake troch in flater yn 'e WebAssembly firtuele masine, wêrtroch jo gegevens kinne skriuwe of lêze nei in willekeurige adres yn it ûnthâld). It wurdt opmurken dat de oantoand eksploitaasje net tastean om sânbox-isolaasje te omgean en in folweardige oanfal fereasket de ûntdekking fan in oare kwetsberens om de sânbox te ferlitten (sa'n kwetsberens waard oantoand foar Windows by de Pwn2Own 2021-kompetysje).
In foarbyld fan in eksploitaasje foar dit probleem waard publisearre op GitHub neidat in fix waard makke oan 'e V8-motor, mar sûnder te wachtsjen op in browser-fernijing basearre op it te generearjen (sels as de eksploitaasje net publisearre wie, koene oanfallers opnij oanmeitsje it basearre op analyse fan feroaringen yn it V8-repository, wat al earder bard is fanwege in situaasje wêr't in fix yn V8 al is publisearre, mar produkten basearre op it binne noch net bywurke).
Derneist kinne jo de ferskowing yn it publikaasjeskema notearje foar de frijlitting fan Chrome 90 foar Linux, Windows en macOS. Dizze release wie pland foar 13 april, mar waard juster net publisearre, en allinich de ferzje foar Android waard frijlitten. In ekstra beta release fan Chrome 90 waard hjoed foarme. In nije release datum is net oankundige.
Boarne: opennet.ru