گوگل نے کروم اپ ڈیٹ 89.0.4389.128 جاری کیا ہے، جو دو کمزوریوں (CVE-2021-21206 اور CVE-2021-21220) کو ٹھیک کرتا ہے جس کے لیے صفر دن کے کارنامے دستیاب ہیں۔ CVE-2021-21220 کو Pwn2Own 2021 مقابلے کے دوران Chrome کو ہیک کرنے کے لیے استعمال کیا گیا تھا۔
کمزوری کا فائدہ خاص طور پر تیار کردہ WebAssembly کوڈ پر عمل کرتے ہوئے کیا جاتا ہے (خطرہ WebAssembly ورچوئل مشین میں ایک خرابی کی وجہ سے ہوتا ہے جو ڈیٹا کو کسی صوابدیدی میموری ایڈریس سے لکھنے یا پڑھنے کی اجازت دیتا ہے)۔ یہ نوٹ کیا گیا ہے کہ دکھایا گیا استحصال سینڈ باکس کی تنہائی کو نظرانداز نہیں کرتا ہے، اور ایک مکمل حملے کے لیے سینڈ باکس سے بچنے کے لیے ایک اور خطرے کی دریافت کی ضرورت ہوتی ہے (ایسی کمزوری کا مظاہرہ Pwn2Own 2021 مقابلے میں کیا گیا تھا)۔ Windows).
V8 انجن میں فکس جاری ہونے کے بعد GitHub پر اس ایشو کی ایک مثال ایکسپلائٹ شائع کی گئی تھی، لیکن اس سے پہلے کہ اس پر مبنی براؤزر اپ ڈیٹس جاری کیے جائیں (اگرچہ ایکسپلوٹ شائع نہ کیا گیا ہوتا، حملہ آور اسے V8 ریپوزٹری میں ہونے والی تبدیلیوں کی بنیاد پر دوبارہ تخلیق کرنے کے قابل ہوتے، جو اس سے پہلے ایسی صورت حال کی وجہ سے ہوا ہے جہاں V8 کے لیے ایک فکس پہلے ہی شائع ہو چکا ہے، لیکن ابھی تک اس کی بنیاد پر مصنوعات کو اپ ڈیٹ نہیں کیا گیا ہے)۔
مزید برآں، یہ کروم 90 کے لیے ریلیز شیڈول میں تبدیلی کو نوٹ کرنے کے قابل ہے۔ Linux, Windows и macOSیہ شمارہ 13 اپریل کو شیڈول کیا گیا تھا، لیکن کل شائع نہیں ہوا تھا، اور صرف اس کا ورژن Androidکروم 90 کا ایک اضافی بیٹا ریلیز آج جاری کیا گیا۔ ریلیز کی نئی تاریخ کا اعلان نہیں کیا گیا ہے۔
ماخذ: opennet.ru
