Google heeft een update voor Chrome 89.0.4389.128 gemaakt, die twee kwetsbaarheden verhelpt (CVE-2021-21206, CVE-2021-21220), waarvoor werkende exploits beschikbaar zijn (0-day). De CVE-2021-21220-kwetsbaarheid werd gebruikt om Chrome te hacken tijdens de Pwn2Own 2021-wedstrijd.
Het misbruik van dit beveiligingslek wordt uitgevoerd door het uitvoeren van een bepaalde manier van opgemaakte WebAssembly-code (het beveiligingslek wordt veroorzaakt door een fout in de virtuele WebAssembly-machine, waardoor u gegevens naar een willekeurig adres in het geheugen kunt schrijven of lezen). Opgemerkt wordt dat de gedemonstreerde exploit het niet mogelijk maakt om de sandbox-isolatie te omzeilen en dat voor een volwaardige aanval de ontdekking van een andere kwetsbaarheid vereist om de sandbox te verlaten (een dergelijke kwetsbaarheid werd voor Windows gedemonstreerd tijdens de Pwn2Own 2021-wedstrijd).
Een voorbeeld van een exploit voor dit probleem werd op GitHub gepubliceerd nadat er een oplossing voor de V8-engine was aangebracht, maar zonder te wachten tot er een browserupdate op basis daarvan was gegenereerd (zelfs als de exploit niet was gepubliceerd, konden aanvallers de exploit opnieuw creëren (het is gebaseerd op een analyse van wijzigingen in de V8-repository, wat al eerder is gebeurd vanwege een situatie waarin er al een oplossing in V8 is gepubliceerd, maar producten die daarop zijn gebaseerd nog niet zijn bijgewerkt).
Bovendien kunt u de verschuiving in het publicatieschema voor de release van Chrome 90 voor Linux, Windows en macOS opmerken. Deze release stond gepland voor 13 april, maar werd gisteren niet gepubliceerd en alleen de versie voor Android verscheen. Vandaag is er een extra bètaversie van Chrome 90 uitgebracht. Een nieuwe releasedatum is nog niet bekendgemaakt.
Bron: opennet.ru