Как стать автором
Обновить

Уязвимость нулевого дня Google Chrome и Microsoft Edge опубликовали в Twitter

Время на прочтение1 мин
Количество просмотров12K

Исследователь безопасности Раджвардхан Агарвал обнаружил уязвимость нулевого дня для удаленного выполнения кода, которая работает в текущих версиях Google Chrome и Microsoft Edge.

ИБ-исследователь выпустил рабочий эксплойт для проверки концепции (PoC) для уязвимости движка JavaScript V8 в браузерах на основе Chromium. Он также заявил, что эта уязвимость уже исправлена ​​в последней версии движка, но неясно, когда Google развернет его в Chrome.

Когда HTML-файл PoC и соответствующий ему файл JavaScript загружаются в браузер на основе Chromium, они используют уязвимость для запуска программы калькулятора Windows (calc.exe).

Однако, чтобы эксплойт работал, его необходимо связать с другой уязвимостью, которая позволит обойти песочницу Chromium.

Чтобы протестировать эксплойт, журналисты BleepingComputer запустили последние стабильные версии браузеров Edge 89.0.774.76 и Chrome 89.0.4389.114 с флагом --no-sandbox, который отключает песочницу Chromium.

Ранее исследователь безопасности Маттиас Буэленс уже сообщал об уязвимости в Chrome WebAssembly и движке JavaScript V8, которая может позволить злоумышленнику удаленно выполнить код. В итоге для версии Chrome 88 выпустили патч. Отмечалось, что уязвимость уже активно эксплуатировали злоумышленники.

Теги:
Хабы:
Всего голосов 11: ↑10 и ↓1+15
Комментарии8

Другие новости

Истории

Работа

Ближайшие события

22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
2 – 18 декабря
Yandex DataLens Festival 2024
МоскваОнлайн
11 – 13 декабря
Международная конференция по AI/ML «AI Journey»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань