گوگل نے کروم 89.0.4389.128 کے لیے ایک اپ ڈیٹ بنایا ہے، جو دو کمزوریوں (CVE-2021-21206، CVE-2021-21220) کو ٹھیک کرتا ہے، جس کے لیے کام کرنے والے کارنامے دستیاب ہیں (0 دن)۔ CVE-2021-21220 کمزوری کو Pwn2Own 2021 مقابلے میں Chrome کو ہیک کرنے کے لیے استعمال کیا گیا تھا۔
اس کمزوری کا استحصال ویب اسمبلی کوڈ کے فارمیٹ کردہ ایک مخصوص طریقے پر عمل درآمد کے ذریعے کیا جاتا ہے (خطرہ WebAssembly ورچوئل مشین میں خرابی کی وجہ سے ہوتا ہے، جو آپ کو میموری میں کسی صوابدیدی پتے پر ڈیٹا لکھنے یا پڑھنے کی اجازت دیتا ہے)۔ یہ نوٹ کیا جاتا ہے کہ مظاہرہ شدہ استحصال کسی کو سینڈ باکس کی تنہائی کو نظرانداز کرنے کی اجازت نہیں دیتا ہے اور ایک مکمل حملے کے لیے سینڈ باکس سے باہر نکلنے کے لیے ایک اور خطرے کی دریافت کی ضرورت ہوتی ہے (اس طرح کی کمزوری کا مظاہرہ ونڈوز کے لیے Pwn2Own 2021 مقابلے میں کیا گیا تھا)۔
اس مسئلے کے استحصال کی ایک مثال V8 انجن کو ٹھیک کرنے کے بعد GitHub پر شائع کی گئی تھی، لیکن اس پر مبنی براؤزر اپ ڈیٹ کے تیار ہونے کا انتظار کیے بغیر (اگرچہ استحصال شائع نہیں کیا گیا تھا، حملہ آور دوبارہ تخلیق کرنے کے قابل تھے۔ یہ V8 ذخیرہ میں تبدیلیوں کے تجزیے پر مبنی ہے، جو پہلے ہی ایسی صورت حال کی وجہ سے ہو چکا ہے جہاں V8 میں ایک فکس پہلے ہی شائع ہو چکا ہے، لیکن اس پر مبنی مصنوعات کو ابھی تک اپ ڈیٹ نہیں کیا گیا ہے)۔
مزید برآں، آپ لینکس، ونڈوز اور میک او ایس کے لیے کروم 90 کی ریلیز کے لیے اشاعت کے شیڈول میں تبدیلی کو نوٹ کر سکتے ہیں۔ یہ ریلیز 13 اپریل کو شیڈول تھی، لیکن کل شائع نہیں ہوئی تھی، اور صرف اینڈرائیڈ کے لیے ورژن جاری کیا گیا تھا۔ کروم 90 کی ایک اضافی بیٹا ریلیز آج تشکیل دی گئی ہے۔ ریلیز کی نئی تاریخ کا اعلان نہیں کیا گیا ہے۔
ماخذ: opennet.ru