Chruthaigh Google nuashonrú ar Chrome 89.0.4389.128, a shocraíonn dhá leochaileacht (CVE-2021-21206, CVE-2021-21220), a bhfuil saothrú oibre ar fáil ina leith (0-lá). Baineadh úsáid as an leochaileacht CVE-2021-21220 chun Chrome a hack ag comórtas Pwn2Own 2021.
Déantar an leochaileacht a shaothrú trí chód WebAssembly atá saindeartha a fhorghníomhú (is é earráid sa mheaisín fíorúil WebAssembly is cúis leis an leochaileacht a ligeann do shonraí a bheith scríobhtha nó léite ó sheoladh cuimhne treallach). Tugtar faoi deara nach seachnaíonn an saothrú a thaispeántar aonrú bosca gainimh, agus éilíonn ionsaí lánfheidhmiúil go bhfaightear leochaileacht eile chun éalú ón mbosca gainimh (léiríodh leochaileacht den sórt sin ag comórtas Pwn2Own 2021). Windows).
Foilsíodh sampla de leas a bhaint as an bhfadhb seo ar GitHub tar éis deisiú a dhéanamh ar an inneall V8, ach gan fanacht le nuashonrú brabhsálaí bunaithe air a ghiniúint (fiú murar foilsíodh an leas, bhí na hionsaitheoirí in ann athchruthú tá sé bunaithe ar anailís ar athruithe sa stór V8, a tharla cheana féin níos luaithe mar gheall ar chás ina bhfuil socrú i V8 foilsithe cheana féin, ach nach bhfuil táirgí atá bunaithe air a nuashonrú go fóill).
Ina theannta sin, is fiú a thabhairt faoi deara an t-athrú i sceideal scaoileadh Chrome 90 do Linux, Windows и macOSBhí an eagrán seo sceidealaithe don 13 Aibreán, ach níor foilsíodh inné é, agus ní raibh ann ach an leagan do AndroidScaoileadh leagan béite breise de Chrome 90 inniu. Níl dáta eisiúna nua fógartha go fóill.
Foinse: oscailtenet.ru
