Objeví zranitelnost zero-day, která se týká nejnovějších verzí prohlížečů s technologií Chromium

Microsoft a Google spolupracují ruku v ruce na vývoji prohlížeče Chromium. Práce, která má své výhody, jak jsme viděli nedávno, když jsme mluvili o řešení chyby, která postihla YouTube ve Windows 10, ale také o občasném problému. Toto je případ zero-day hrozby, která postihuje oba prohlížeče

Riziko, které může ovlivnit Edge i Chrome a ve skutečnosti je funkční v nejnovějších verzích obou prohlížečů. Hrozba objevená bezpečnostním výzkumníkem, která může umožnit vzdálené spuštění kódu a tím spustit jakoukoli aplikaci nebo program bez aktivace uživatele.

Pro prohlížeče založené na Chromiu

Výzkumný pracovník Rajvardhan Agarwal @r4j0x00 na Twitteru objevil a opravil chybu zabezpečení v Edge a Chrome, která může usnadnit vzdálené spuštění kódu. Chyba, která je funkční v aktuální verzi Google Chrome a Microsoft Edge

Toto je chyba zabezpečení umožňující vzdálené spuštění kódu pro stroj JavaScript V8 v prohlížečích založených na Chromiu, která, ačkoli je opravena v nejnovější verzi modulu JavaScript V8, dosud nebyla implementována v obou prohlížečích.

Chyba funguje, když se HTML PoC a odpovídající soubor JavaScript načtou do prohlížeče založeného na Chromiu. Výzkumník využil tuto chybu zabezpečení ke spuštění programu kalkulačky Windows, ale může usnadnit načtení jakéhokoli programu

Pozitivní na tom je, že tuto chybu je obtížné provést, protože je omezena na režim sandbox prohlížeče Chromium, který izoluje proces od odpočívat, aby útočník neměl přístup ke zbytku aplikací a funkcí systému. Aby to bylo možné, je nutné použít příkaz flags a příkaz –no-sandbox pro deaktivaci režimu sandbox.

Je třeba doufat, že nové aktualizace obou prohlížečů již mají novou verzi, již opravenou, vykreslovacího jádra Chromium JavaScript V8, přičemž Chrome 90 vyjde zítra, podle toho, která oprava jej opraví dříve.

Via | Pípavý počítač