Google ji bo Chrome 89.0.4389.128 nûvekirinek çêkiriye, ku du qelsiyan rast dike (CVE-2021-21206, CVE-2021-21220), ku ji bo wan îstîsmarên xebatê hene (0-roj). Zelalbûna CVE-2021-21220 ji bo hackkirina Chrome di pêşbaziya Pwn2Own 2021 de hate bikar anîn.
Karanîna vê qelsiyê bi pêkanîna rêgezek diyarkirî ya koda WebAssembly-ya formatkirî ve tête kirin (xewazî ji ber xeletiyek di makîneya virtual WebAssembly de çêdibe, ku destûrê dide te ku hûn daneyan li navnîşek keyfî di bîranînê de binivîsin an bixwînin). Tê destnîşan kirin ku îstîsmara xwenîşandanî rê nade ku meriv îzolekirina sandboxê derbas bike û ji bo êrîşek bêkêmasî pêdivî ye ku keşifek din were dîtin da ku ji sandbox derkeve (xewaziyek wusa ji bo Windows-ê di pêşbaziya Pwn2Own 2021 de hate xuyang kirin).
Mînaka îstismarek ji bo vê pirsgirêkê piştî ku rastkirinek li motora V8 hate çêkirin, li ser GitHub hate weşandin, lê bêyî ku li bendê bimîne ku nûvekirinek gerokê li ser bingeha wê were çêkirin (tevî ku îstîsmar nehatibe weşandin jî, êrîşkaran karîbûn ji nû ve biafirînin. ew li ser bingeha analîzkirina guheztinên di depoya V8 de ye, ku berê berê çêbûbû ji ber rewşek ku di V8-ê de sererastkirinek berê hatî weşandin, lê hilberên li ser bingeha wê hîn nehatine nûve kirin).
Wekî din, hûn dikarin guheztina nexşeya weşanê ya ji bo serbestberdana Chrome 90-ê ji bo Linux, Windows û macOS-ê destnîşan bikin. Ev berdan ji bo 13ê Avrêlê hatibû plan kirin, lê duh nehat weşandin, û tenê guhertoya ji bo Android-ê derket. Weşanek beta ya din a Chrome 90 îro hate damezrandin. Dîrokek nû ya berdanê nehatiye ragihandin.
Source: opennet.ru