Gumawa ang Google ng update sa Chrome 89.0.4389.128, na nag-aayos ng dalawang kahinaan (CVE-2021-21206, CVE-2021-21220), kung saan available ang mga gumaganang pagsasamantala (0-araw). Ginamit ang kahinaan ng CVE-2021-21220 para i-hack ang Chrome sa kumpetisyon ng Pwn2Own 2021.
Ang pagsasamantala sa kahinaang ito ay isinasagawa sa pamamagitan ng pagpapatupad ng isang tiyak na paraan ng na-format na WebAssembly code (ang kahinaan ay sanhi ng isang error sa WebAssembly virtual machine, na nagpapahintulot sa iyo na magsulat o magbasa ng data sa isang arbitrary na address sa memorya). Napansin na ang ipinakitang pagsasamantala ay hindi nagpapahintulot sa isa na i-bypass ang sandbox isolation at ang isang ganap na pag-atake ay nangangailangan ng pagtuklas ng isa pang kahinaan upang lumabas sa sandbox (ang ganitong kahinaan ay ipinakita para sa Windows sa Pwn2Own 2021 na kumpetisyon).
Ang isang halimbawa ng pagsasamantala para sa problemang ito ay na-publish sa GitHub pagkatapos ng pag-aayos sa V8 engine, ngunit nang hindi naghihintay para sa isang pag-update ng browser batay dito na mabuo (kahit na ang pagsasamantala ay hindi nai-publish, ang mga umaatake ay nagawang muling likhain ito ay batay sa pagsusuri ng mga pagbabago sa V8 repository, na nangyari nang mas maaga dahil sa isang sitwasyon kung saan ang isang pag-aayos sa V8 ay nai-publish na, ngunit ang mga produkto batay dito ay hindi pa na-update).
Bilang karagdagan, maaari mong tandaan ang pagbabago sa iskedyul ng publikasyon para sa paglabas ng Chrome 90 para sa Linux, Windows at macOS. Ang release na ito ay naka-iskedyul para sa Abril 13, ngunit hindi na-publish kahapon, at ang bersyon lamang para sa Android ang inilabas. Isang karagdagang beta release ng Chrome 90 ang nabuo ngayong araw. Hindi pa inaanunsyo ang isang bagong petsa ng paglabas.
Pinagmulan: opennet.ru