Google telah membuat pembaruan untuk Chrome 89.0.4389.128, yang memperbaiki dua kerentanan (CVE-2021-21206, CVE-2021-21220), yang eksploitasinya tersedia (0 hari). Kerentanan CVE-2021-21220 digunakan untuk meretas Chrome di kompetisi Pwn2Own 2021.
Eksploitasi kerentanan ini dilakukan melalui eksekusi kode WebAssembly yang diformat dengan cara tertentu (kerentanan ini disebabkan oleh kesalahan pada mesin virtual WebAssembly, yang memungkinkan Anda menulis atau membaca data ke alamat sewenang-wenang di memori). Perlu dicatat bahwa eksploitasi yang ditunjukkan tidak memungkinkan seseorang untuk melewati isolasi kotak pasir dan serangan penuh memerlukan penemuan kerentanan lain untuk keluar dari kotak pasir (kerentanan seperti itu ditunjukkan untuk Windows pada kompetisi Pwn2Own 2021).
Contoh eksploitasi untuk masalah ini diterbitkan di GitHub setelah perbaikan dilakukan pada mesin V8, tetapi tanpa menunggu pembaruan browser berdasarkan itu dihasilkan (meskipun eksploitasi belum dipublikasikan, penyerang dapat membuat ulang itu berdasarkan analisis perubahan dalam repositori V8, yang telah terjadi sebelumnya karena situasi di mana perbaikan di V8 telah dipublikasikan, namun produk berdasarkan itu belum diperbarui).
Selain itu, Anda dapat melihat perubahan jadwal publikasi rilis Chrome 90 untuk Linux, Windows, dan macOS. Rilis ini dijadwalkan pada 13 April, namun tidak dipublikasikan kemarin, dan hanya versi untuk Android yang dirilis. Rilis beta tambahan Chrome 90 telah dibentuk hari ini. Tanggal rilis baru belum diumumkan.
Sumber: opennet.ru