Google huet en Update op Chrome 89.0.4389.128 erstallt, deen zwee Schwachstelle fixéiert (CVE-2021-21206, CVE-2021-21220), fir déi Aarbechtsexploiten verfügbar sinn (0-Dag). D'CVE-2021-21220 Schwachstelle gouf benotzt fir Chrome am Pwn2Own 2021 Concours ze hacken.
D'Ausbeutung vun dëser Schwachstelle gëtt duerch d'Ausféierung vun engem bestëmmte Wee vum formatéierten WebAssembly Code duerchgefouert (d'Schwachheet gëtt duerch e Feeler an der WebAssembly virtueller Maschinn verursaacht, déi Iech erlaabt Daten op eng arbiträr Adress an der Erënnerung ze schreiwen oder ze liesen). Et gëtt bemierkt datt de demonstréierten Ausbeutung et net erlaabt d'Sandkëschtisolatioun z'iwwergoen an e vollwäertege Attack erfuerdert d'Entdeckung vun enger anerer Schwachstelle fir d'Sandkëscht ze verloossen (sou eng Schwachstelle gouf fir Windows am Pwn2Own 2021 Concours bewisen).
E Beispill vun engem Ausbeutung fir dëse Problem gouf op GitHub publizéiert nodeems e Fix op de V8-Motor gemaach gouf, awer ouni ze waarden op e Browseraktualiséierung baséiert op deem fir generéiert ze ginn (och wann den Ausbeutung net publizéiert gouf, konnten Ugräifer nei erstallt ginn et baséiert op Analyse vun Ännerungen am V8 Repository, wat scho virdru geschitt ass wéinst enger Situatioun wou e Fix am V8 scho publizéiert gouf, awer Produkter baséiert op et sinn nach net aktualiséiert ginn).
Zousätzlech kënnt Dir d'Verréckelung am Verëffentlechungsplang fir d'Verëffentlechung vu Chrome 90 fir Linux, Windows a macOS notéieren. Dës Verëffentlechung war geplangt fir den 13. Abrëll, awer gouf gëschter net publizéiert, an nëmmen d'Versioun fir Android gouf verëffentlecht. Eng zousätzlech Beta Verëffentlechung vu Chrome 90 gouf haut geformt. En neie Verëffentlechungsdatum ass net ugekënnegt ginn.
Source: opennet.ru