Google Chrome 89.0.4389.128 жаңыртуусун түздү, ал эки кемчиликти оңдойт (CVE-2021-21206, CVE-2021-21220), алар үчүн жумушчу эксплуатациялар жеткиликтүү (0 күн). CVE-2021-21220 аялуулугу Pwn2Own 2021 сынагында Chrome'ду бузуш үчүн колдонулган.
Бул алсыздыкты пайдалануу форматталган WebAssembly кодунун белгилүү бир ыкмасын аткаруу аркылуу ишке ашырылат (аялуу WebAssembly виртуалдык машинасындагы катадан келип чыгат, ал эстутумдагы каалаган дарекке маалыматтарды жазууга же окууга мүмкүндүк берет). Көрсөтүлгөн эксплуатация кумдук обочолонууну айланып өтүүгө мүмкүндүк бербей тургандыгы жана толук кандуу чабуул кум чөйрөсүнөн чыгуу үчүн дагы бир алсыздыктын ачылышын талап кылаары белгиленген (мындай аялуу Windows үчүн Pwn2Own 2021 сынагында көрсөтүлгөн).
V8 кыймылдаткычына оңдоолор киргизилгенден кийин, бул көйгөйдүн эксплойтинин мисалы GitHub сайтында жарыяланды, бирок анын негизинде браузер жаңыртуусунун түзүлүшүн күтпөстөн (эксплейт жарыялана элек болсо дагы, чабуулчулар бул V8 репозиторийиндеги өзгөрүүлөрдүн анализине негизделген, буга чейин V8де оңдоо жарыяланган, бирок анын негизиндеги өнүмдөр жаңыртыла элек кырдаалдан улам буга чейин болгон).
Кошумчалай кетсек, Linux, Windows жана macOS үчүн Chrome 90 чыгаруу үчүн жарыялоо графигинин өзгөрүшүн белгилей аласыз. Бул релиз 13-апрелге пландаштырылган, бирок кечээ жарыяланган жок, Android үчүн гана версиясы чыкты. Бүгүн Chrome 90дун кошумча бета версиясы түзүлдү. Жаңы релиз күнү жарыялана элек.
Source: opennet.ru