Google har slÀppt Chrome-uppdatering 89.0.4389.128, som ÄtgÀrdar tvÄ sÄrbarheter (CVE-2021-21206 och CVE-2021-21220) för vilka fungerande zero-day-exploits finns tillgÀngliga. CVE-2021-21220 anvÀndes för att hacka Chrome under Pwn2Own 2021-tÀvlingen.
SÄrbarheten utnyttjas genom att exekvera specialskriven WebAssembly-kod (sÄrbarheten orsakas av ett fel i den virtuella WebAssembly-maskinen som tillÄter att data skrivs eller lÀses frÄn en godtycklig minnesadress). Det noteras att den visade attacken inte kringgÄr sandboxisolering, och en fullfjÀdrad attack krÀver upptÀckten av en annan sÄrbarhet för att undkomma sandboxen (en sÄdan sÄrbarhet demonstrerades vid Pwn2Own 2021-tÀvlingen). Windows).
Ett exempel pÄ ett utnyttjande för det hÀr problemet publicerades pÄ GitHub efter att en korrigering slÀpptes för V8-motorn, men innan webblÀsaruppdateringar baserade pÄ den slÀpptes (Àven om utnyttjandet inte hade publicerats skulle angripare ha kunnat Äterskapa det baserat pÄ Àndringar i V8-arkivet, vilket har hÀnt tidigare pÄ grund av en situation dÀr en korrigering för V8 redan har publicerats, men produkter baserade pÄ den Ànnu inte har uppdaterats).
Dessutom Àr det vÀrt att notera förÀndringen i lanseringsschemat för Chrome 90 för Linux, Windows О macOSDetta nummer var planerat till den 13 april, men publicerades inte igÄr, och endast versionen för AndroidEn ytterligare betaversion av Chrome 90 slÀpptes idag. Ett nytt releasedatum har inte tillkÀnnagivits.
KĂ€lla: opennet.ru
