Google telah membuat kemas kini pada Chrome 89.0.4389.128, yang membetulkan dua kelemahan (CVE-2021-21206, CVE-2021-21220), yang eksploitasi kerja tersedia (0 hari). Kerentanan CVE-2021-21220 digunakan untuk menggodam Chrome pada pertandingan Pwn2Own 2021.
Eksploitasi kelemahan ini dilakukan melalui pelaksanaan cara tertentu kod WebAssembly yang diformatkan (kelemahan disebabkan oleh ralat dalam mesin maya WebAssembly, yang membolehkan anda menulis atau membaca data ke alamat sewenang-wenangnya dalam ingatan). Adalah diperhatikan bahawa eksploitasi yang ditunjukkan tidak membenarkan seseorang memintas pengasingan kotak pasir dan serangan sepenuhnya memerlukan penemuan kelemahan lain untuk keluar dari kotak pasir (kelemahan sedemikian ditunjukkan untuk Windows pada pertandingan Pwn2Own 2021).
Contoh eksploitasi untuk masalah ini diterbitkan di GitHub selepas pembetulan dibuat pada enjin V8, tetapi tanpa menunggu kemas kini penyemak imbas berdasarkannya dijana (walaupun eksploitasi belum diterbitkan, penyerang dapat mencipta semula ia berdasarkan analisis perubahan dalam repositori V8, yang telah berlaku lebih awal disebabkan situasi di mana pembetulan dalam V8 telah diterbitkan, tetapi produk berdasarkannya masih belum dikemas kini).
Selain itu, anda boleh perhatikan peralihan dalam jadual penerbitan untuk keluaran Chrome 90 untuk Linux, Windows dan macOS. Keluaran ini dijadualkan pada 13 April, tetapi tidak diterbitkan semalam, dan hanya versi untuk Android dikeluarkan. Keluaran beta tambahan Chrome 90 telah dibentuk hari ini. Tarikh keluaran baharu belum diumumkan.
Sumber: opennet.ru