Google je ustvaril posodobitev za Chrome 89.0.4389.128, ki odpravlja dve ranljivosti (CVE-2021-21206, CVE-2021-21220), za kateri so na voljo delujoči podvigi (0-dan). Ranljivost CVE-2021-21220 je bila uporabljena za vdor v Chrome na tekmovanju Pwn2Own 2021.
Izkoriščanje te ranljivosti se izvaja z izvajanjem določenega načina oblikovane kode WebAssembly (ranljivost nastane zaradi napake v virtualnem stroju WebAssembly, ki omogoča pisanje ali branje podatkov na poljuben naslov v pomnilniku). Opozoriti je treba, da predstavljeno izkoriščanje ne dovoljuje obhoda izolacije peskovnika in da popoln napad zahteva odkritje druge ranljivosti za izhod iz peskovnika (takšna ranljivost je bila prikazana za Windows na tekmovanju Pwn2Own 2021).
Primer izkoriščanja za to težavo je bil objavljen na GitHubu po popravku motorja V8, vendar brez čakanja na generiranje posodobitve brskalnika, ki temelji na njem (tudi če izkoriščanje ni bilo objavljeno, so napadalci lahko znova ustvarili temelji na analizi sprememb v repozitoriju V8, kar se je že zgodilo prej zaradi situacije, ko je bil popravek v V8 že objavljen, vendar izdelki, ki temeljijo na njem, še niso bili posodobljeni).
Poleg tega lahko opazite premik v urniku objav za izdajo Chroma 90 za Linux, Windows in macOS. Ta izdaja je bila predvidena za 13. april, vendar včeraj ni bila objavljena, izdana je bila samo različica za Android. Danes je bila oblikovana dodatna izdaja beta za Chrome 90. Nov datum izdaje ni bil objavljen.
Vir: opennet.ru