Egy nulladik napi sebezhetőséget fedeztek fel, amely a Chromium-alapú böngészők legújabb verzióit érinti

A Microsoft és a Google kéz a kézben együttműködnek a Chromium fejlesztésében. Egy munka, aminek megvannak a maga előnyei, ahogy a minap láttuk, amikor a YouTube-ot érintő Windows 10-es hiba megoldásáról, de az alkalmi problémákról is beszéltünk. Ez egy nulladik napi fenyegetés esete, amely mindkét böngészőt érinti

Olyan kockázat, amely az Edge-t és a Chrome-ot is érintheti, és mindkét böngésző legújabb verziójában működik. Egy biztonsági kutató által felfedezett fenyegetés, amely engedélyezheti a távoli kódfuttatást, és ezáltal bármilyen alkalmazást vagy programot elindíthat a felhasználó aktiválása nélkül.

Chromium-alapú böngészőkhöz

Rajvardhan Agarwal @r4j0x00 kutató a Twitteren felfedezett és kijavított egy biztonsági rést az Edge-ben és a Chrome-ban, amely megkönnyítheti a távoli kódfuttatást. Egy programhiba, amely működik a Google Chrome és a Microsoft Edge jelenlegi verziójában

Ez egy távoli kódfuttatást okozó biztonsági rés a V8 JavaScript motorhoz Chromium-alapú böngészőkben, amely javítva van a V8 JavaScript motor legújabb verziójában, még nincs implementálva mindkét böngészőben.

A hiba akkor működik, ha egy HTML PoC és a megfelelő JavaScript-fájl betöltődik egy Chromium-alapú böngészőbe. A kutató a biztonsági rést felhasználta a Windows számológép program elindításához, de megkönnyítheti bármely program betöltését

A pozitív rész az, hogy ezt a hibát nehéz végrehajtani, mivel a Chromium sandbox módjára korlátozódik, amely elszigeteli a folyamatot a pihenni, így a támadó nem férhet hozzá a rendszer többi alkalmazásához és funkciójához. Ennek lehetővé tételéhez a flags parancsot és a –no-sandbox parancsot kell használni a sandbox mód letiltásához.

Remélem, hogy mindkét böngésző új frissítésében már megvan a Chromium renderelő motor új verziója JavaScript V8, holnap jelenik meg a Chrome 90, amelyik előbb kijavítja.

Via | Csipogó számítógép