Google imeunda sasisho kwa Chrome 89.0.4389.128, ambayo hurekebisha udhaifu mbili (CVE-2021-21206, CVE-2021-21220), ambayo matumizi ya kazi yanapatikana (0-siku). Athari ya CVE-2021-21220 ilitumiwa kudukua Chrome kwenye shindano la Pwn2Own 2021.
Unyonyaji wa udhaifu huu unafanywa kwa njia ya utekelezaji wa njia fulani ya msimbo wa WebAssembly ulioumbizwa (udhaifu unasababishwa na hitilafu katika mashine ya mtandaoni ya WebAssembly, ambayo inakuwezesha kuandika au kusoma data kwa anwani ya kiholela katika kumbukumbu). Inabainika kuwa utumizi ulioonyeshwa hauruhusu mtu kukwepa kutengwa kwa kisanduku cha mchanga na shambulio kamili linahitaji ugunduzi wa athari nyingine ili kuondoka kwenye sandbox (hatari kama hiyo ilionyeshwa kwa Windows kwenye shindano la Pwn2Own 2021).
Mfano wa unyonyaji wa shida hii ulichapishwa kwenye GitHub baada ya kurekebishwa kwa injini ya V8, lakini bila kungoja sasisho la kivinjari kulingana na hilo kutolewa (hata kama unyonyaji haujachapishwa, washambuliaji waliweza kuunda tena. ni kwa kuzingatia uchambuzi wa mabadiliko katika hazina ya V8, ambayo tayari imetokea mapema kutokana na hali ambapo kurekebisha katika V8 tayari kuchapishwa, lakini bidhaa kulingana na hilo bado hazijasasishwa).
Zaidi ya hayo, unaweza kutambua mabadiliko katika ratiba ya uchapishaji ya kutolewa kwa Chrome 90 kwa Linux, Windows na MacOS. Toleo hili lilipangwa Aprili 13, lakini halikuchapishwa jana, na toleo la Android pekee ndilo lililotolewa. Toleo la ziada la beta la Chrome 90 limeundwa leo. Tarehe mpya ya kutolewa haijatangazwa.
Chanzo: opennet.ru