Google သည် အားနည်းချက်နှစ်ခု (CVE-89.0.4389.128-2021၊ CVE-21206-2021) ကို ပြုပြင်ပေးသည့် Chrome 21220 အတွက် အပ်ဒိတ်တစ်ခု ဖန်တီးထားပြီး၊ အလုပ်လုပ်သော အသုံးချမှုများကို (0-ရက်) ရရှိနိုင်မည်ဖြစ်သည်။ CVE-2021-21220 အားနည်းချက်ကို Pwn2Own 2021 ပြိုင်ပွဲတွင် Chrome ကို hack ရန် အသုံးပြုခဲ့သည်။
ဤအားနည်းချက်ကို အသုံးချခြင်းအား ဖော်မတ်လုပ်ထားသည့် WebAssembly ကုဒ်၏ အချို့သောနည်းလမ်းဖြင့် လုပ်ဆောင်ခြင်းဖြစ်သည် (အားနည်းချက်သည် သင်မှတ်ဉာဏ်ထဲတွင် မထင်သလို လိပ်စာတစ်ခုသို့ ဒေတာများရေးသားခြင်း သို့မဟုတ် ဖတ်နိုင်စေသည့် WebAssembly virtual machine တွင် အမှားအယွင်းတစ်ခုကြောင့် ဖြစ်ပေါ်လာသည်)။ သရုပ်ပြ exploit သည် sandbox isolation ကို ကျော်ဖြတ်ရန် ခွင့်မပြုဘဲ sandbox မှထွက်ရန် အခြားသော အားနည်းချက်ကို ရှာဖွေတွေ့ရှိရန် လိုအပ်သည် (ထိုကဲ့သို့သော အားနည်းချက်ကို Pwn2Own 2021 ယှဉ်ပြိုင်မှုတွင် Windows အတွက် သရုပ်ပြထားသည်)။
ဤပြဿနာအတွက် exploit တစ်ခု၏ ဥပမာတစ်ခုအား V8 အင်ဂျင်တွင် ပြုပြင်ပြီးနောက် GitHub တွင် ထုတ်ဝေခဲ့သည်၊ သို့သော် ၎င်းအပေါ်အခြေခံ၍ browser update ကို စောင့်စရာမလိုဘဲ (exploit ကို မထုတ်ဝေရသေးသော်လည်း၊ တိုက်ခိုက်သူများသည် ပြန်လည်ဖန်တီးနိုင်သည် V8 repository တွင် အပြောင်းအလဲများကို ခွဲခြမ်းစိတ်ဖြာခြင်းအပေါ် အခြေခံ၍ ၎င်းသည် V8 တွင် ထုတ်ဝေပြီးဖြစ်သည့် အခြေအနေတစ်ခုကြောင့် အစောပိုင်းတွင် ဖြစ်ပျက်ခဲ့ပြီးဖြစ်သော်လည်း ၎င်းကို အခြေခံထားသော ထုတ်ကုန်များကို မွမ်းမံပြင်ဆင်ရသေးသည်)။
ထို့အပြင်၊ Linux၊ Windows နှင့် macOS အတွက် Chrome 90 ထုတ်ဝေမှုအတွက် ထုတ်ဝေမှုအချိန်ဇယားတွင် အပြောင်းအလဲကို မှတ်သားနိုင်သည်။ ဤဖြန့်ချိမှုသည် ဧပြီလ 13 ရက်နေ့အတွက် စီစဉ်ထားသော်လည်း ယမန်နေ့က ထုတ်ဝေခြင်းမရှိခဲ့ဘဲ Android အတွက် ဗားရှင်းကိုသာ ထုတ်ဝေခဲ့သည်။ Chrome 90 ၏ နောက်ထပ် beta ဖြန့်ချိမှုကို ယနေ့ ဖွဲ့စည်းခဲ့ပါသည်။ အသစ်ထွက်ရှိမည့်ရက်ကို မကြေငြာရသေးပါ။
source: opennet.ru