Tha Google air ùrachadh a chruthachadh gu Chrome 89.0.4389.128, a shocraicheas dà chugallachd (CVE-2021-21206, CVE-2021-21220), far a bheil buannachdan obrach rim faighinn (0-latha). Chaidh an so-leòntachd CVE-2021-21220 a chleachdadh gus Chrome a hackadh aig farpais Pwn2Own 2021.
Bithear a’ cleachdadh an so-leòntachd seo tro bhith a’ cur an gnìomh dòigh sònraichte de chòd WebAssembly ann an cruth (tha an so-leòntachd air adhbhrachadh le mearachd ann an inneal brìgheil WebAssembly, a leigeas leat dàta a sgrìobhadh no a leughadh gu seòladh neo-riaghailteach mar chuimhneachan). Thathas a’ toirt fa-near nach leig an cleachdadh a chaidh a dhearbhadh le neach a dhol seachad air aonaranachd bogsa gainmhich agus feumaidh ionnsaigh làn-chuimseach lorg air so-leòntachd eile gus am bogsa gainmhich fhàgail (chaidh a leithid de chugallachd a nochdadh airson Windows aig farpais Pwn2Own 2021).
Chaidh eisimpleir de chleachdadh airson an duilgheadas seo fhoillseachadh air GitHub às deidh fuasgladh a dhèanamh air an einnsean V8, ach gun a bhith a’ feitheamh ri ùrachadh brabhsair stèidhichte air a bhith air a chruthachadh (eadhon ged nach deach an brath fhoillseachadh, bha e comasach dha luchd-ionnsaigh ath-chruthachadh tha e stèidhichte air mion-sgrùdadh air atharrachaidhean ann an stòr V8, a tha air tachairt na bu thràithe air sgàth suidheachadh far an deach fuasgladh ann an V8 fhoillseachadh mu thràth, ach cha deach toraidhean stèidhichte air ùrachadh fhathast).
A bharrachd air an sin, faodaidh tu toirt fa-near an gluasad sa chlàr foillseachaidh airson Chrome 90 a leigeil ma sgaoil airson Linux, Windows agus macOS. Bha an sgaoileadh seo clàraichte airson 13 Giblean, ach cha deach fhoillseachadh an-dè, agus cha deach ach an dreach airson Android fhoillseachadh. Chaidh dreach beta a bharrachd de Chrome 90 a chruthachadh an-diugh. Cha deach ceann-latha sgaoilidh ùr ainmeachadh.
Source: fosgailtenet.ru