He löytävät nollapäivän haavoittuvuuden, joka vaikuttaa uusimpiin Chromium-pohjaisten selainten versioihin

Microsoft ja Google tekevät käsi kädessä yhteistyötä Chromiumin kehittämisessä. Työ, jolla on etunsa, kuten näimme toissapäivänä puhuessamme ratkaisusta YouTubeen Windows 10:ssä vaikuttaneeseen bugiin, mutta myös satunnaisesta ongelmasta. Tämä on nollapäivän uhka, joka vaikuttaa molempiin selaimiin

Riski, joka voi vaikuttaa sekä Edgeen että Chromeen ja toimii itse asiassa kummankin selaimen uusimmissa versioissa. Tietoturvatutkijan löytämä uhka, joka voi sallia koodin etäsuorittamisen ja siten käynnistää minkä tahansa sovelluksen tai ohjelman ilman käyttäjän aktivointia.

Chromium-pohjaisille selaimille

Tutkija Rajvardhan Agarwal @r4j0x00 Twitterissä on havainnut ja korjannut Edgen ja Chromen haavoittuvuuden, joka saattaa helpottaa koodin etäsuoritusta. Virhe, joka on toiminnallinen Google Chromen ja Microsoft Edgen nykyisessä versiossa

Tämä on koodin etäsuorittamisen haavoittuvuus V8 JavaScript -moottorille Chromium-pohjaisissa selaimissa, vaikka on korjattu V8 JavaScript -moottorin uusimmassa versiossa, ei ole vielä otettu käyttöön molemmissa selaimissa.

Virhe toimii, kun HTML PoC ja vastaava JavaScript-tiedosto ladataan Chromium-pohjaiseen selaimeen. Tutkija on käyttänyt haavoittuvuutta käynnistääkseen Windowsin laskinohjelman, mutta saattaa helpottaa minkä tahansa ohjelman lataamista

Myönteistä on, että tätä virhettä on vaikea suorittaa, koska se on rajoitettu Chromiumin hiekkalaatikkotilaan, joka eristää prosessin levätä, jotta hyökkääjä ei voi käyttää järjestelmän muita sovelluksia ja toimintoja. Jotta se olisi mahdollista, on tarpeen käyttää lippujen komentoa ja komentoa –no-sandbox sandbox-tilan poistamiseksi käytöstä.

On toivottavaa, että molempien selainten uusissa päivityksissä on jo korjattu uusi versio renderöintimoottorista Chromium JavaScript V8, Chrome 90 julkaistaan ​​huomenna sen mukaan, kumpi korjaa sen ensin.

Via | Äänimerkki