Google, Chrome 89.0.4389.128 için, çalışan güvenlik açıklarının (2021 gün) mevcut olduğu iki güvenlik açığını (CVE-21206-2021, CVE-21220-0) düzelten bir güncelleme oluşturdu. CVE-2021-21220 güvenlik açığı, Pwn2Own 2021 yarışmasında Chrome'u hacklemek için kullanıldı.
Bu güvenlik açığı, özel olarak hazırlanmış WebAssembly kodunun çalıştırılmasıyla istismar ediliyor (güvenlik açığı, WebAssembly sanal makinesindeki bir hatadan kaynaklanıyor ve bu hata, verilerin rastgele bir bellek adresinden yazılmasına veya okunmasına olanak tanıyor). Gösterilen istismarın sanal alan izolasyonunu atlatmadığı ve tam teşekküllü bir saldırının, sanal alandan kaçmak için başka bir güvenlik açığının keşfedilmesini gerektirdiği belirtilmektedir (bu tür bir güvenlik açığı Pwn2Own 2021 yarışmasında gösterilmiştir). Windows).
Bu soruna yönelik bir istismar örneği, V8 motorunda bir düzeltme yapıldıktan sonra GitHub'da yayınlandı, ancak bunu temel alan bir tarayıcı güncellemesinin oluşturulması beklenmeden (istismar yayınlanmamış olsa bile, saldırganlar yeniden oluşturabildiler) V8'deki bir düzeltmenin zaten yayınlandığı ancak buna dayalı ürünlerin henüz güncellenmediği bir durum nedeniyle daha önce gerçekleşmiş olan V8 deposundaki değişikliklerin analizine dayanmaktadır).
Ayrıca, Chrome 90'ın yayın takvimindeki değişikliğe de dikkat çekmekte fayda var. Linux, Windows и macOSBu sayı 13 Nisan'da yayınlanacaktı ancak dün yayınlanmadı ve sadece şu sürüm yayınlandı: AndroidChrome 90'ın ek bir beta sürümü bugün yayınlandı. Yeni bir çıkış tarihi henüz açıklanmadı.
Kaynak: opennet.ru
