Google Chrome 89.0.4389.128 க்கு ஒரு புதுப்பிப்பை உருவாக்கியுள்ளது, இது இரண்டு பாதிப்புகளை (CVE-2021-21206, CVE-2021-21220) சரிசெய்கிறது, அதற்கான வேலைச் சுரண்டல்கள் கிடைக்கின்றன (0-நாள்). Pwn2021Own 21220 போட்டியில் Chrome ஐ ஹேக் செய்ய CVE-2-2021 பாதிப்பு பயன்படுத்தப்பட்டது.
இந்த பாதிப்பின் சுரண்டல், வடிவமைக்கப்பட்ட WebAssembly குறியீட்டின் ஒரு குறிப்பிட்ட வழியை செயல்படுத்துவதன் மூலம் மேற்கொள்ளப்படுகிறது (இந்த பாதிப்பு WebAssembly மெய்நிகர் இயந்திரத்தில் ஏற்பட்ட பிழையால் ஏற்படுகிறது, இது நினைவகத்தில் உள்ள தன்னிச்சையான முகவரிக்கு தரவை எழுத அல்லது படிக்க அனுமதிக்கிறது). நிரூபிக்கப்பட்ட சுரண்டல் ஒருவரை சாண்ட்பாக்ஸ் தனிமைப்படுத்தலைப் புறக்கணிக்க அனுமதிக்காது மற்றும் ஒரு முழு அளவிலான தாக்குதலுக்கு சாண்ட்பாக்ஸிலிருந்து வெளியேற மற்றொரு பாதிப்பைக் கண்டறிய வேண்டும் என்பது குறிப்பிடத்தக்கது (அத்தகைய பாதிப்பு Windows க்கு Pwn2Own 2021 போட்டியில் நிரூபிக்கப்பட்டது).
இந்தச் சிக்கலுக்கான ஒரு எடுத்துக்காட்டு GitHub இல் V8 இன்ஜினில் பிழைத்திருத்தம் செய்யப்பட்ட பிறகு வெளியிடப்பட்டது, ஆனால் அதன் அடிப்படையில் உலாவிப் புதுப்பிப்பு உருவாக்கப்படும் வரை காத்திருக்காமல் (சுரண்டல் வெளியிடப்படாவிட்டாலும், தாக்குபவர்களால் மீண்டும் உருவாக்க முடிந்தது. இது V8 களஞ்சியத்தில் உள்ள மாற்றங்களின் பகுப்பாய்வை அடிப்படையாகக் கொண்டது, இது ஏற்கனவே V8 இல் பிழைத்திருத்தம் வெளியிடப்பட்ட சூழ்நிலையின் காரணமாக ஏற்கனவே நடந்தது, ஆனால் அதன் அடிப்படையிலான தயாரிப்புகள் இன்னும் புதுப்பிக்கப்படவில்லை).
கூடுதலாக, Linux, Windows மற்றும் macOS க்கான Chrome 90 வெளியீட்டிற்கான வெளியீட்டு அட்டவணையில் மாற்றத்தை நீங்கள் கவனிக்கலாம். இந்த வெளியீடு ஏப்ரல் 13 அன்று திட்டமிடப்பட்டது, ஆனால் நேற்று வெளியிடப்படவில்லை, மேலும் Android க்கான பதிப்பு மட்டுமே வெளியிடப்பட்டது. Chrome 90 இன் கூடுதல் பீட்டா வெளியீடு இன்று உருவாக்கப்பட்டது. புதிய வெளியீட்டு தேதி அறிவிக்கப்படவில்லை.
ஆதாரம்: opennet.ru