Odkrijejo ranljivost zero-day, ki vpliva na najnovejše različice brskalnikov, ki jih poganja Chromium

Microsoft in Google z roko v roki sodelujeta pri razvoju Chromiuma. Delo, ki ima svoje prednosti, kot smo videli prejšnji dan, ko smo govorili o rešitvi napake, ki je prizadela YouTube v sistemu Windows 10, pa tudi občasno težavo. To je primer grožnje ničelnega dne, ki prizadene oba brskalnika

Tveganje, ki lahko vpliva na Edge in Chrome in dejansko deluje v najnovejših različicah obeh brskalnikov. Grožnja, ki jo je odkril varnostni raziskovalec in lahko dovoli oddaljeno izvajanje kode in s tem zažene katero koli aplikacijo ali program brez uporabniške aktivacije.

Za brskalnike Chromium

Raziskovalec Rajvardhan Agarwal @r4j0x00 na Twitterju je odkril in popravil ranljivost v Edge in Chrome, ki lahko olajša oddaljeno izvajanje kode. Napaka, ki je deluje v trenutni različici Google Chroma in Microsoft Edge

To je ranljivost pri oddaljenem izvajanju kode za motor V8 JavaScript v brskalnikih, ki temeljijo na Chromiumu, ki je odpravljena v najnovejši različici motorja V8 JavaScript, še ni implementiran v obeh brskalnikih.

Napaka deluje, ko sta HTML PoC in ustrezna datoteka JavaScript naložena v brskalnik, ki temelji na Chromiumu. Raziskovalec je uporabil ranljivost za zagon programa Windows kalkulator, vendar lahko olajša nalaganje katerega koli programa

Pozitivna stran je, da je to napako težko izvesti, saj je omejena na Chromiumov način peskovnika, ki izolira proces od ostalo, tako da napadalec ne more dostopati do preostalih aplikacij in funkcij sistema. Da bi to omogočili, je treba uporabiti ukaz flags in ukaz –no-sandbox za onemogočanje načina peskovnika.

Upati je, da novi posodobitvi obeh brskalnikov že vsebujeta novo različico, že popravljeno, mehanizma za upodabljanje Chromium JavaScript V8, s Chromom 90, ki bo izdan jutri, kar koli prej popravi.

Via | Bleeping Computer