Google parantos nyiptakeun pembaruan ka Chrome 89.0.4389.128, anu ngalereskeun dua kerentanan (CVE-2021-21206, CVE-2021-21220), dimana eksploitasi tiasa dianggo (0 dinten). Kerentanan CVE-2021-21220 dianggo pikeun hack Chrome dina kompetisi Pwn2Own 2021.
Eksploitasi kerentanan ieu dilaksanakeun ngaliwatan palaksanaan cara nu tangtu kode WebAssembly (kerentanan disababkeun ku kasalahan dina mesin virtual WebAssembly, nu ngidinan Anjeun pikeun nulis atawa maca data ka alamat sawenang dina mémori). Perhatikeun yén eksploitasi anu ditunjukkeun henteu ngijinkeun hiji pikeun ngaliwat isolasi sandbox sareng serangan lengkep ngabutuhkeun panemuan kerentanan anu sanés pikeun kaluar tina kotak pasir (kerentanan sapertos ditingalikeun pikeun Windows dina kompetisi Pwn2Own 2021).
Conto eksploitasi pikeun masalah ieu diterbitkeun dina GitHub saatos ngalereskeun mesin V8, tapi tanpa ngantosan pembaruan browser dumasar kana éta dibangkitkeun (sanaos eksploitasi henteu acan diterbitkeun, panyerang tiasa nyiptakeun deui. eta dumasar kana analisis parobahan dina Repository V8, nu geus lumangsung saméméhna alatan kaayaan dimana fix di V8 geus diterbitkeun, tapi produk dumasar kana eta teu acan diropéa).
Salaku tambahan, anjeun tiasa nyatet peralihan jadwal publikasi pikeun sékrési Chrome 90 pikeun Linux, Windows sareng macOS. Pelepasan ieu dijadwalkeun pikeun 13 April, tapi henteu diterbitkeun kamari, sareng ngan ukur versi pikeun Android anu dileupaskeun. Pelepasan béta tambahan tina Chrome 90 kabentuk ayeuna. Tanggal sékrési énggal teu acan diumumkeun.
sumber: opennet.ru