Компания Google сформировала обновление Chrome 89.0.4389.128, в котором исправлены две уязвимости (CVE-2021-21206, CVE-2021-21220), для которых доступны рабочие эксплоиты (0-day). Уязвимость CVE-2021-21220 была использована для взлома Chrome на соревновании Pwn2Own 2021.
Эксплуатация указанной уязвимости осуществляется через выполнение определённым образом оформленного кода WebAssembly (уязвимость вызвана ошибкой в виртуальной машине WebAssembly, позволяющей записать или прочитать данные по произвольному адресу в памяти). При этом отмечается, что показанный эксплоит не позволяет обойти sandbox-изоляцию и для полноценной атаки требуется обнаружение ещё одной уязвимости для выхода из sandbox (на соревновании Pwn2Own 2021 такая уязвимость была продемонстрирована для Windows).
Пример эксплоита для данной проблемы был опубликован на GitHub после внесения исправления в движок V8, но не дожидаясь формирования обновления браузеров на его основе (даже если бы эксплоит не был опубликован, злоумышленники получили возможность воссоздать его на основе анализа изменений в репозитории V8, что уже случалось ранее из-за возникновения ситуации, когда исправление в V8 уже опубликовано, но продукты на его основе ещё не обновлены).
Дополнительно можно отметить сдвиг графика публикации выпуска Chrome 90 для Linux, Windows и macOS. Данный выпуск был намечен на 13 апреля, но вчера не был опубликован, а вышла лишь версия для Android. Сегодня был сформирован дополнительный бета-выпуск Chrome 90. О новой дате релиза не сообщается.