Exodus බුද්ධියේ පර්යේෂකයන් ක්රෝම්/ක්රෝමියම් කේත පදනමේ ඇති දුර්වලතා නිවැරදි කිරීමේ ක්රියාවලියේ දුර්වල ලක්ෂ්යයකි. ගැටළුව පැන නගින්නේ Google විසින් සිදු කරන ලද වෙනස්කම් ආරක්ෂක ගැටළු වලට සම්බන්ධ වන්නේ නිකුත් කිරීමෙන් පසුව පමණක් බව හෙළිදරව් කිරීම, නමුත්
නිකුතුව ප්රකාශ කිරීමට පෙර V8 එන්ජිමේ ඇති අවදානමක් නිරාකරණය කිරීමට ගබඩාවට කේතය එක් කරයි. යම් කාලයක් සඳහා, නිවැරදි කිරීම් පරීක්ෂා කරනු ලබන අතර කවුළුවක් දිස්වන අතර එමඟින් කේත පදනමේ අවදානම ස්ථාවර වන අතර විශ්ලේෂණය සඳහා ලබා ගත හැකිය, නමුත් පරිශීලක පද්ධතිවල අවදානම නොවිසඳී පවතී.
ගබඩාවේ සිදු කරන ලද වෙනස්කම් අධ්යයනය කරන අතරතුර, පර්යේෂකයන් විසින් පෙබරවාරි 19 වන දින එකතු කරන ලද දෙයක් දුටුවේය සහ දින තුනක් ඇතුළත ඔවුන් සූදානම් කිරීමට හැකි විය , ක්රෝම් හි වත්මන් නිකුතුවලට බලපායි (ප්රකාශිත සූරාකෑමේ වැලිපිල්ල හුදකලා කිරීම මග හැරීමට සංරචක ඇතුළත් නොවීය). Google වහාම Chrome 80.0.3987.122 යාවත්කාලීන කිරීම, යෝජිත සූරාකෑම සවි කිරීම (CVE-2020-6418). මෙම අවදානම Google ඉංජිනේරුවන් විසින් මුලින් හඳුනාගෙන ඇති අතර එය JSCreate මෙහෙයුමේ වර්ගය හැසිරවීමේ ගැටලුවක් නිසා ඇති වන අතර, එය Array.pop හෝ Array.prototype.pop ක්රමය හරහා ප්රයෝජනයට ගත හැකිය. ඒ හා සමාන ගැටලුවක් තිබූ බව සැලකිය යුතු කරුණකි පසුගිය ගිම්හානයේදී Firefox හි.
ඇතුළත් කිරීම නිසා සූරාකෑම් නිර්මාණය කිරීමේ පහසුව ද පර්යේෂකයෝ සටහන් කළහ යාන්ත්රණය (සම්පූර්ණ 64-bit අගය ගබඩා කිරීම වෙනුවට, පොයින්ටරයේ අද්විතීය පහළ බිටු පමණක් ගබඩා කර ඇත, එය ගොඩ මතක පරිභෝජනය සැලකිය යුතු ලෙස අඩු කළ හැක). උදාහරණයක් ලෙස, බිල්ට්-ඉන් ක්රියාකාරී වගුව, ස්වදේශීය සන්දර්භය වස්තූන්, සහ වැනි සමහර ප්රධාන-ගොඩ දත්ත ව්යුහයන් කසළ එකතු කරන්නා දැන් පුරෝකථනය කළ හැකි සහ ලිවිය හැකි ඇසුරුම් කළ ලිපින සඳහා වෙන් කර ඇත.
සිත්ගන්නා කරුණ නම්, වසරකට පමණ පෙර නික්මයාම බුද්ධිය විය V8 හි නිවැරදි කිරීම් පිළිබඳ පොදු ලොගය අධ්යයනය කිරීම මත පදනම්ව සූරාකෑමක් නිර්මාණය කිරීමේ හැකියාව පිළිබඳ සමාන නිරූපණයක්, නමුත්, පෙනෙන විදිහට, නිසි නිගමන අනුගමනය නොකළේය. පර්යේෂකයන් වෙනුවට
Exodus බුද්ධිය ප්රහාරකයින් හෝ බුද්ධි අංශ විය හැකි අතර, ඔවුන් සූරාකෑමක් නිර්මාණය කරන විට, ඊළඟ Chrome නිකුතුව සෑදීමට පෙර දින හෝ සති පවා අවදානම රහසිගතව ප්රයෝජනයට ගැනීමට අවස්ථාව ලැබේ.
මූලාශ්රය: opennet.ru