Google нь Chrome 89.0.4389.128-д зориулсан шинэчлэлтийг бүтээсэн бөгөөд энэ нь хоёр сул талыг (CVE-2021-21206, CVE-2021-21220) зассан бөгөөд эдгээрт ажиллах боломжтой (0 өдөр). CVE-2021-21220 эмзэг байдлыг Pwn2Own 2021 тэмцээнд Chrome-ыг хакердсан.
Энэхүү эмзэг байдлыг тодорхой аргаар боловсруулсан WebAssembly кодыг ажиллуулах замаар ашигладаг (эмзэг байдал нь WebAssembly виртуал машин дахь алдаанаас үүдэлтэй бөгөөд энэ нь санах ойн дурын хаяг руу өгөгдлийг бичих эсвэл унших боломжийг олгодог). Үзүүлсэн мөлжлөг нь хамгаалагдсан хязгаарлагдмал орчны тусгаарлалтыг тойрч гарахыг зөвшөөрдөггүй бөгөөд бүрэн халдлага нь хамгаалагдсан хязгаарлагдмал орчинд гарахын тулд өөр нэг эмзэг байдлыг илрүүлэх шаардлагатай байдаг (ийм эмзэг байдлыг Windows-д зориулсан Pwn2Own 2021 тэмцээнд харуулсан).
V8 хөдөлгүүрт засвар хийгдсэний дараа энэ асуудалд зориулсан мөлжлөгийн жишээг GitHub дээр нийтэлсэн боловч түүн дээр суурилсан хөтчийн шинэчлэлтийг үүсгэхийг хүлээлгүйгээр (хөдөлгөөн нийтлэгдээгүй байсан ч халдагчид дахин үүсгэх боломжтой байсан. Энэ нь V8-ийн засварыг аль хэдийн нийтэлсэн боловч үүн дээр суурилсан бүтээгдэхүүн хараахан шинэчлэгдээгүй байгаа нөхцөл байдлын улмаас өмнө нь аль хэдийн гарсан V8 репозиторын өөрчлөлтийн дүн шинжилгээнд үндэслэсэн болно).
Нэмж дурдахад, та Linux, Windows болон macOS-д зориулсан Chrome 90-ийг гаргахад зориулж хэвлэх хуваарь өөрчлөгдсөнийг тэмдэглэж болно. Энэ хувилбарыг 13-р сарын 90-нд гаргахаар төлөвлөж байсан ч өчигдөр нийтлээгүй бөгөөд зөвхөн Android-д зориулсан хувилбарыг гаргасан. Chrome XNUMX-ийн нэмэлт бета хувилбар өнөөдөр гарлаа. Шинэ хувилбарын огноог зарлаагүй байна.
Эх сурвалж: opennet.ru