Ei descoperă o vulnerabilitate zero-day care afectează cele mai recente versiuni ale browserelor bazate pe Chromium
Cuprins:
Microsoft și Google colaborează mână în mână la dezvoltarea Chromium. O meserie care are avantajele ei, așa cum am văzut zilele trecute când vorbim despre soluția bug-ului care a afectat YouTube în Windows 10, dar și ocazional problemă. Acesta este cazul unei amenințări zero-day care afectează ambele browsere
Un risc care poate afecta atât Edge, cât și Chrome și este de fapt funcțional în cele mai recente versiuni ale ambelor browsere. O amenințare descoperită de un cercetător de securitate care poate permite executarea codului de la distanță și, prin urmare, poate lansa orice aplicație sau program fără activarea utilizatorului.
Pentru browserele bazate pe Chromium
Cercetatorul Rajvardhan Agarwal @r4j0x00 de pe Twitter a descoperit și remediat o vulnerabilitate în Edge și Chrome care ar putea facilita execuția codului de la distanță. O eroare care este funcțională în versiunea actuală de Google Chrome și Microsoft Edge
Aceasta este o vulnerabilitate de execuție a codului de la distanță pentru motorul JavaScript V8 în browserele bazate pe Chromium, care, deși este remediată în cea mai recentă versiune a motorului JavaScript V8, nu a fost încă implementat în ambele browsere.
Eroarea funcționează atunci când un PoC HTML și fișierul JavaScript corespunzător sunt încărcate într-un browser bazat pe Chromium. Cercetătorul a folosit vulnerabilitatea pentru a porni programul calculatorului Windows, dar poate facilita încărcarea oricărui program
Partea pozitivă este că acest bug este dificil de executat, deoarece este limitat la modul sandbox al Chromium care izolează procesul de odihnește-te astfel încât un atacator să nu poată accesa restul aplicațiilor și funcțiilor sistemului. Pentru a face acest lucru posibil, este necesar să folosiți comanda flags și comanda –no-sandbox pentru a dezactiva modul sandbox.
Este de sperat că noile actualizări ale ambelor browsere au deja noua versiune, deja corectată, a motorului de randare Chromium JavaScript V8, cu Chrome 90 care va fi lansat mâine, oricare dintre acestea îl remediază mai întâi.
Via | Bleeping Computer
