Google Chrome 89.0.4389.128కి అప్డేట్ను సృష్టించింది, ఇది రెండు దుర్బలత్వాలను (CVE-2021-21206, CVE-2021-21220) పరిష్కరిస్తుంది, దీని కోసం పని చేసే దోపిడీలు అందుబాటులో ఉన్నాయి (0-రోజులు). Pwn2021Own 21220 పోటీలో Chromeను హ్యాక్ చేయడానికి CVE-2-2021 దుర్బలత్వం ఉపయోగించబడింది.
ఫార్మాట్ చేయబడిన WebAssembly కోడ్ యొక్క నిర్దిష్ట మార్గాన్ని అమలు చేయడం ద్వారా ఈ దుర్బలత్వం యొక్క దోపిడీ జరుగుతుంది (ఈ దుర్బలత్వం WebAssembly వర్చువల్ మెషీన్లోని లోపం వల్ల ఏర్పడుతుంది, ఇది మెమరీలోని ఏకపక్ష చిరునామాకు డేటాను వ్రాయడానికి లేదా చదవడానికి మిమ్మల్ని అనుమతిస్తుంది). ప్రదర్శించబడిన దోపిడీ శాండ్బాక్స్ ఐసోలేషన్ను దాటవేయడానికి ఒకరిని అనుమతించదని మరియు పూర్తి స్థాయి దాడికి శాండ్బాక్స్ నుండి నిష్క్రమించడానికి మరొక దుర్బలత్వాన్ని కనుగొనడం అవసరమని గుర్తించబడింది (అటువంటి దుర్బలత్వం Windows కోసం Pwn2Own 2021 పోటీలో ప్రదర్శించబడింది).
V8 ఇంజిన్కు పరిష్కారం చేసిన తర్వాత ఈ సమస్య కోసం దోపిడీకి ఉదాహరణ GitHubలో ప్రచురించబడింది, కానీ దాని ఆధారంగా రూపొందించబడే బ్రౌజర్ నవీకరణ కోసం వేచి ఉండకుండా (దోపిడీ ప్రచురించబడకపోయినా, దాడి చేసేవారు మళ్లీ సృష్టించగలిగారు ఇది V8 రిపోజిటరీలో మార్పుల విశ్లేషణపై ఆధారపడింది, V8లో పరిష్కారాన్ని ఇప్పటికే ప్రచురించిన పరిస్థితి కారణంగా ఇది ఇప్పటికే జరిగింది, కానీ దాని ఆధారంగా ఉత్పత్తులు ఇంకా నవీకరించబడలేదు).
అదనంగా, మీరు Linux, Windows మరియు macOS కోసం Chrome 90 విడుదల కోసం ప్రచురణ షెడ్యూల్లో మార్పును గమనించవచ్చు. ఈ విడుదల ఏప్రిల్ 13న షెడ్యూల్ చేయబడింది, కానీ నిన్న ప్రచురించబడలేదు మరియు ఆండ్రాయిడ్ వెర్షన్ మాత్రమే విడుదల చేయబడింది. Chrome 90 యొక్క అదనపు బీటా విడుదల ఈరోజు రూపొందించబడింది. కొత్త విడుదల తేదీ ప్రకటించబడలేదు.
మూలం: opennet.ru