Google, Chrome 89.0.4389.128 için, çalışan güvenlik açıklarının (2021 gün) mevcut olduğu iki güvenlik açığını (CVE-21206-2021, CVE-21220-0) düzelten bir güncelleme oluşturdu. CVE-2021-21220 güvenlik açığı, Pwn2Own 2021 yarışmasında Chrome'u hacklemek için kullanıldı.
Bu güvenlik açığından yararlanılması, belirli bir şekilde biçimlendirilmiş WebAssembly kodunun çalıştırılması yoluyla gerçekleştirilir (güvenlik açığı, WebAssembly sanal makinesinde, bellekteki rastgele bir adrese veri yazmanıza veya okumanıza izin veren bir hatadan kaynaklanır). Gösterilen istismarın, sanal alan izolasyonunu atlamasına izin vermediği ve tam teşekküllü bir saldırının, sanal alandan çıkmak için başka bir güvenlik açığının keşfedilmesini gerektirdiği belirtilmektedir (böyle bir güvenlik açığı, Pwn2Own 2021 yarışmasında Windows için gösterilmiştir).
Bu soruna yönelik bir istismar örneği, V8 motorunda bir düzeltme yapıldıktan sonra GitHub'da yayınlandı, ancak bunu temel alan bir tarayıcı güncellemesinin oluşturulması beklenmeden (istismar yayınlanmamış olsa bile, saldırganlar yeniden oluşturabildiler) V8'deki bir düzeltmenin zaten yayınlandığı ancak buna dayalı ürünlerin henüz güncellenmediği bir durum nedeniyle daha önce gerçekleşmiş olan V8 deposundaki değişikliklerin analizine dayanmaktadır).
Ek olarak, Linux, Windows ve macOS için Chrome 90'ın piyasaya sürülmesiyle ilgili yayın programındaki değişikliği de not edebilirsiniz. Bu sürümün 13 Nisan'da yayınlanması planlanmıştı ancak dün yayınlanmadı ve yalnızca Android sürümü yayınlandı. Chrome 90'ın ek beta sürümü bugün oluşturuldu ancak yeni bir çıkış tarihi açıklanmadı.
Kaynak: opennet.ru