Jie aptinka nulinės dienos pažeidžiamumą, kuris turi įtakos naujausioms „Chromium“ naudojamų naršyklių versijoms
Turinys:
„Microsoft“ ir „Google“ bendradarbiauja kurdamos „Chromium“. Darbas, kuris turi savo privalumų, kaip matėme kitą dieną, kai kalbėjome apie klaidos, kuri paveikė „YouTube“ operacinėje sistemoje „Windows 10“, sprendimą, bet taip pat kartais pasitaikančias problemas. Tai nulinės dienos grėsmės atvejis, paveikiantis abi naršykles
Rizika, kuri gali turėti įtakos ir „Edge“, ir „Chrome“, ir iš tikrųjų veikia naujausiose abiejų naršyklių versijose. Saugumo tyrinėtojo aptikta grėsmė, kuri gali leisti nuotoliniu būdu vykdyti kodą ir tokiu būdu paleisti bet kokią programą ar programą nesuaktyvinus vartotojo.
„Chromium“ pagrindu veikiančioms naršyklėms
Tyrėjas Rajvardhan Agarwal @r4j0x00 „Twitter“ aptiko ir ištaisė „Edge“ ir „Chrome“ pažeidžiamumą, kuris gali palengvinti nuotolinį kodo vykdymą. Klaida, kuri veikia dabartinėje „Google Chrome“ ir „Microsoft Edge“ versijoje
Tai nuotolinio kodo vykdymo pažeidžiamumas, skirtas V8 JavaScript variklio Chromium pagrindu veikiančiose naršyklėse, kuris, nors yra ištaisytas naujausioje V8 JavaScript variklio versijoje, dar neįdiegtas abiejose naršyklėse.
Klaida veikia, kai HTML PoC ir atitinkamas „JavaScript“ failas įkeliamas į „Chromium“ pagrįstą naršyklę. Tyrėjas pasinaudojo pažeidžiamumu, kad paleistų „Windows“ skaičiuoklės programą, tačiau gali palengvinti bet kurios programos įkėlimą
Teigiama yra tai, kad šią klaidą sunku įvykdyti, nes ji apsiriboja „Chromium“ smėlio dėžės režimu, kuris izoliuoja procesą nuo poilsio, kad užpuolikas negalėtų pasiekti likusių sistemos programų ir funkcijų. Kad tai būtų įmanoma, būtina naudoti komandą flags ir komandą –no-sandbox, kad išjungtumėte smėlio dėžės režimą.
Reikia tikėtis, kad naujieji abiejų naršyklių atnaujinimai jau turi naują versiją, jau pataisyta, atvaizdavimo variklio Chromium „JavaScript V8“ su „Chrome 90“ bus išleistas rytoj, atsižvelgiant į tai, kas ją ištaisys anksčiau.
Per | Miegojantis kompiuteris
