Objavia zraniteľnosť zero-day, ktorá ovplyvňuje najnovšie verzie prehliadačov s technológiou Chromium
Obsah:
Microsoft a Google ruka v ruke spolupracujú na vývoji prehliadača Chromium. Práca, ktorá má svoje výhody, ako sme videli nedávno, keď sme hovorili o riešení chyby, ktorá postihla YouTube v systéme Windows 10, ale aj o občasnom probléme. Toto je prípad hrozby zero-day, ktorá postihuje oba prehliadače
Riziko, ktoré môže ovplyvniť Edge aj Chrome a je skutočne funkčné v najnovších verziách oboch prehliadačov. Hrozba objavená bezpečnostným výskumníkom, ktorá môže umožniť vzdialené spustenie kódu a tým spustiť akúkoľvek aplikáciu alebo program bez aktivácie používateľa.
Pre prehliadače založené na prehliadači Chromium
Výskumník Rajvardhan Agarwal @r4j0x00 na Twitteri objavil a opravil zraniteľnosť v Edge a Chrome, ktorá môže uľahčiť spustenie kódu na diaľku. Chyba, ktorá je funkčná v aktuálnej verzii prehliadača Google Chrome a Microsoft Edge
Toto je chyba zabezpečenia vzdialeného spustenia kódu pre jadro JavaScript V8 v prehliadačoch založených na prehliadači Chromium, ktorá, hoci je opravená v najnovšej verzii nástroja JavaScript V8, ešte nebol implementovaný v oboch prehliadačoch.
Chyba funguje, keď sa HTML PoC a príslušný súbor JavaScript načítajú v prehliadači založenom na prehliadači Chromium. Výskumník využil túto chybu zabezpečenia na spustenie programu kalkulačky Windows, ale môže uľahčiť načítanie akéhokoľvek programu
Pozitívnou časťou je, že túto chybu je ťažké vykonať, pretože je obmedzená na režim karantény Chromium, ktorý izoluje proces od odpočívajte, aby útočník nemohol pristupovať k zvyšku aplikácií a funkcií systému. Aby to bolo možné, je potrebné použiť príkaz flags a príkaz –no-sandbox na vypnutie režimu sandbox.
Je potrebné dúfať, že nové aktualizácie oboch prehliadačov už majú novú verziu vykresľovacieho jadra Chromium, už opravenú JavaScript V8, pričom Chrome 90 vyjde zajtra, podľa toho, ktorá oprava ho opraví skôr.
Via | Pípajúci počítač
