Otkrili su zero-day ranjivost koja utječe na najnovije verzije preglednika koji pokreće Chromium

Microsoft i Google surađuju ruku pod ruku na razvoju Chromiuma. Posao koji ima svoje prednosti, u što smo se uvjerili neki dan kada smo pričali o rješenju buga koji je zahvatio YouTube u Windowsima 10, ali i pokoji problem. Ovo je slučaj prijetnje nultog dana koja utječe na oba preglednika

Rizik koji može utjecati na Edge i Chrome i zapravo je funkcionalan u najnovijim verzijama oba preglednika. Prijetnja koju je otkrio sigurnosni istraživač koja može dopustiti daljinsko izvršavanje koda i time pokrenuti bilo koju aplikaciju ili program bez korisničke aktivacije.

Za preglednike temeljene na Chromiumu

Istraživač Rajvardhan Agarwal @r4j0x00 na Twitteru je otkrio i popravio ranjivost u Edgeu i Chromeu koja može olakšati daljinsko izvršavanje koda. Greška koja je funkcionalna u trenutnoj verziji preglednika Google Chrome i Microsoft Edge

Ovo je ranjivost daljinskog izvođenja koda za V8 JavaScript mehanizam u preglednicima baziranim na Chromiumu koji je, iako je ispravljen u najnovijoj verziji V8 JavaScript motora, još nije implementiran u oba preglednika.

Pogreška radi kada se HTML PoC i odgovarajuća JavaScript datoteka učitaju u preglednik temeljen na Chromiumu. Istraživač je iskoristio ranjivost za pokretanje programa Windows kalkulatora, ali može olakšati učitavanje bilo kojeg programa

Pozitivno je to što je ovu pogrešku teško pokrenuti jer je ograničena na Chromiumov sandbox mod koji izolira proces od ostalo tako da napadač ne može pristupiti ostalim aplikacijama i funkcijama sustava. Da bi to bilo moguće, potrebno je koristiti naredbu flags i naredbu –no-sandbox za onemogućavanje sandbox moda.

Nadajmo se da nova ažuriranja oba preglednika već imaju novu verziju, već ispravljenu, mehanizma za renderiranje Chromium JavaScript V8, s Chromeom 90 koji će biti objavljen sutra, što god prvo popravi.

Preko | Blještavo računalo