Google stworzyło aktualizację do przeglądarki Chrome 89.0.4389.128, która naprawia dwie luki (CVE-2021-21206, CVE-2021-21220), dla których dostępne są działające exploity (0-day). Luka CVE-2021-21220 została wykorzystana do zhakowania przeglądarki Chrome w ramach konkursu Pwn2Own 2021.
Wykorzystanie tej luki odbywa się poprzez wykonanie w określony sposób sformatowanego kodu WebAssembly (luka jest spowodowana błędem maszyny wirtualnej WebAssembly, która umożliwia zapis lub odczyt danych pod dowolny adres w pamięci). Należy zauważyć, że zademonstrowany exploit nie pozwala na ominięcie izolacji sandboksa, a pełnoprawny atak wymaga wykrycia innej podatności, aby wyjść z piaskownicy (taką lukę zademonstrowano dla systemu Windows w konkursie Pwn2Own 2021).
Przykład exploita rozwiązującego ten problem został opublikowany na GitHubie po naprawie silnika V8, ale bez czekania na wygenerowanie opartej na nim aktualizacji przeglądarki (nawet jeśli exploit nie został opublikowany, atakujący byli w stanie odtworzyć opiera się on na analizie zmian w repozytorium V8, co miało miejsce już wcześniej ze względu na sytuację, w której opublikowano już poprawkę w V8, ale produkty na niej oparte nie zostały jeszcze zaktualizowane).
Dodatkowo można zauważyć zmianę w harmonogramie publikacji wersji Chrome 90 dla systemów Linux, Windows i macOS. Wydanie to zaplanowano na 13 kwietnia, ale wczoraj nie zostało opublikowane, a ukazała się jedynie wersja na Androida. Dziś powstała dodatkowa wersja beta przeglądarki Chrome 90. Nowa data premiery nie została ogłoszona.
Źródło: opennet.ru