Viņi atklāj nulles dienas ievainojamību, kas ietekmē jaunākās Chromium darbināmo pārlūkprogrammu versijas

Microsoft un Google cieši sadarbojas Chromium izstrādē. Darbs, kuram ir savas priekšrocības, kā mēs to redzējām iepriekšējā dienā, runājot par kļūdu, kas ietekmēja pakalpojumu YouTube operētājsistēmā Windows 10, kā arī neregulāru problēmu. Šis ir nulles dienas apdraudējuma gadījums, kas ietekmē abas pārlūkprogrammas

Risks, kas var ietekmēt gan Edge, gan Chrome, un faktiski darbojas abu pārlūkprogrammu jaunākajās versijās. Drošības pētnieka atklāts apdraudējums, kas var atļaut attālinātu koda izpildi un tādējādi palaist jebkuru lietojumprogrammu vai programmu bez lietotāja aktivizēšanas.

Pārlūkprogrammām, kuru pamatā ir Chromium

Pētnieks Rajvardhan Agarwal @r4j0x00 vietnē Twitter ir atklājis un novērsis Edge un Chrome ievainojamību, kas var atvieglot attālinātu koda izpildi. Kļūda, kas ir funkcionāla pašreizējā Google Chrome un Microsoft Edge versijā

Šī ir attālināta koda izpildes ievainojamība V8 JavaScript dzinējam pārlūkprogrammās, kuru pamatā ir Chromium, un, lai gan ir novērsta jaunākajā V8 JavaScript dzinēja versijā, vēl nav ieviests abās pārlūkprogrammās.

Kļūda darbojas, kad HTML PoC un atbilstošais JavaScript fails tiek ielādēts pārlūkprogrammā, kuras pamatā ir Chromium. Pētnieks ir izmantojis ievainojamību, lai palaistu Windows kalkulatora programmu, taču var atvieglot jebkuras programmas ielādi

Pozitīvā daļa ir tāda, ka šo kļūdu ir grūti izpildīt, jo tā ir ierobežota ar Chromium smilškastes režīmu, kas izolē procesu no atpūsties, lai uzbrucējs nevarētu piekļūt pārējām sistēmas lietojumprogrammām un funkcijām. Lai tas būtu iespējams, ir jāizmanto komanda flags un komanda –no-sandbox, lai atspējotu smilškastes režīmu.

Jācer, ka abu pārlūkprogrammu jaunajiem atjauninājumiem jau ir jaunā renderēšanas dzinēja Chromium versija, kas jau ir izlabota. JavaScript V8 — pārlūkprogramma Chrome 90 tiks izlaista rīt, atkarībā no tā, kurš to izlabos pirmais.

Via | Pīkst dators