Google ir izveidojis Chrome 89.0.4389.128 atjauninājumu, kas novērš divas ievainojamības (CVE-2021-21206, CVE-2021-21220), kurām ir pieejamas darba metodes (0 dienu). Ievainojamība CVE-2021-21220 tika izmantota, lai uzlauztu pārlūku Chrome konkursā Pwn2Own 2021.
Šīs ievainojamības izmantošana tiek veikta, izpildot noteikta veida formatētu WebAssembly kodu (ievainojamību izraisa WebAssembly virtuālās mašīnas kļūda, kas ļauj ierakstīt vai nolasīt datus uz patvaļīgu adresi atmiņā). Tiek atzīmēts, ka demonstrētā izmantošana neļauj apiet smilškastes izolāciju un pilnvērtīgam uzbrukumam ir jāatklāj cita ievainojamība, lai izietu no smilškastes (šāda ievainojamība tika demonstrēta Windows konkursā Pwn2Own 2021).
Šīs problēmas izmantošanas piemērs tika publicēts vietnē GitHub pēc tam, kad V8 dzinējā tika veikts labojums, taču, negaidot, līdz tiks ģenerēts pārlūkprogrammas atjauninājums, pamatojoties uz to (pat ja ekspluatācija nebija publicēta, uzbrucēji varēja to atkārtoti izveidot tas ir balstīts uz izmaiņu analīzi V8 repozitorijā, kas jau ir noticis iepriekš, jo V8 labojums jau ir publicēts, bet produkti, kas balstīti uz to, vēl nav atjaunināti).
Turklāt varat atzīmēt izmaiņas publicēšanas grafikā Chrome 90 izlaišanai operētājsistēmai Linux, Windows un macOS. Šis laidiens bija paredzēts 13. aprīlī, taču vakar netika publicēts, un tika izlaista tikai Android versija. Šodien tika izveidots Chrome 90 papildu beta laidiens. Jauns izlaišanas datums nav paziņots.
Avots: opennet.ru