Обновление Chrome 89.0.4389.128 с устранением 0-day уязвимости. Chrome 90 задерживается

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
15-Апр-2021 02:30

Компания Google сформировала обновление Chrome 89.0.4389.128, в котором исправлены две уязвимости (CVE-2021-21206, CVE-2021-21220), для которых доступны рабочие эксплоиты (0-day). Уязвимость CVE-2021-21220 была использована для взлома Chrome на соревновании Pwn2Own 2021.
Эксплуатация указанной уязвимости осуществляется через выполнение определённым образом оформленного кода WebAssembly (уязвимость вызвана ошибкой в виртуальной машине WebAssembly, позволяющей записать или прочитать данные по произвольному адресу в памяти). При этом отмечается, что показанный эксплоит не позволяет обойти sandbox-изоляцию и для полноценной атаки требуется обнаружение ещё одной уязвимости для выхода из sandbox (на соревновании Pwn2Own 2021 такая уязвимость была продемонстрирована для Windows).
Пример эксплоита для данной проблемы был опубликован на GitHub после внесения исправления в движок V8, но не дожидаясь формирования обновления браузеров на его основе (даже если бы эксплоит не был опубликован, злоумышленники получили возможность воссоздать его на основе анализа изменений в репозитории V8, что уже случалось ранее из-за возникновения ситуации, когда исправление в V8 уже опубликовано, но продукты на его основе ещё не обновлены).
Дополнительно можно отметить сдвиг графика публикации выпуска Chrome 90 для Linux, Windows и macOS. Данный выпуск был намечен на 13 апреля, но вчера не был опубликован, а вышла лишь версия для Android. Сегодня был сформирован дополнительный бета-выпуск Chrome 90. О новой дате релиза не сообщается.
===========
Источник:
OpenNet.RU
===========

Похожие новости: Теги для поиска: #_chrome
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 22-Ноя 18:27
Часовой пояс: UTC + 5