Ανακαλύπτουν μια ευπάθεια zero-day που επηρεάζει τις πιο πρόσφατες εκδόσεις των προγραμμάτων περιήγησης που υποστηρίζονται από Chromium
Πίνακας περιεχομένων:
Η Microsoft και η Google συνεργάζονται χέρι-χέρι για την ανάπτυξη του Chromium. Μια δουλειά που έχει τα πλεονεκτήματά της, όπως είδαμε τις προάλλες μιλώντας για τη λύση στο bug που επηρέασε το YouTube στα Windows 10, αλλά και το περιστασιακό πρόβλημα. Αυτή είναι η περίπτωση μιας απειλής μηδενικής ημέρας που επηρεάζει και τα δύο προγράμματα περιήγησης
Ένας κίνδυνος που μπορεί να επηρεάσει τόσο τον Edge όσο και το Chrome και είναι πραγματικά λειτουργικός στις πιο πρόσφατες εκδόσεις και των δύο προγραμμάτων περιήγησης. Μια απειλή που ανακαλύφθηκε από έναν ερευνητή ασφάλειας που μπορεί να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα και, ως εκ τούτου, να εκκινήσει οποιαδήποτε εφαρμογή ή πρόγραμμα χωρίς ενεργοποίηση από τον χρήστη.
Για προγράμματα περιήγησης που βασίζονται σε Chromium
Ερευνητής Rajvardhan Agarwal @r4j0x00 στο Twitter ανακάλυψε και διόρθωσε μια ευπάθεια στο Edge και το Chrome που μπορεί να διευκολύνει την απομακρυσμένη εκτέλεση κώδικα. Ένα σφάλμα που είναι λειτουργικό στην τρέχουσα έκδοση του Google Chrome και του Microsoft Edge
Αυτή είναι μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα για τη μηχανή JavaScript V8 σε προγράμματα περιήγησης που βασίζονται σε Chromium, η οποία, αν και επιδιορθώθηκε στην πιο πρόσφατη έκδοση της μηχανής JavaScript V8, δεν έχει εφαρμοστεί ακόμη και στα δύο προγράμματα περιήγησης.
Το σφάλμα λειτουργεί όταν ένα HTML PoC και το αντίστοιχο αρχείο JavaScript φορτώνονται σε ένα πρόγραμμα περιήγησης που βασίζεται σε Chromium. Ο ερευνητής χρησιμοποίησε την ευπάθεια για να ξεκινήσει το πρόγραμμα αριθμομηχανής των Windows, αλλά μπορεί να διευκολύνει τη φόρτωση οποιουδήποτε προγράμματος
Το θετικό είναι ότι αυτό το σφάλμα είναι δύσκολο να εκτελεστεί, καθώς περιορίζεται στη λειτουργία sandbox του Chromium που απομονώνει τη διαδικασία από το ξεκουραστείτε, ώστε ένας εισβολέας να μην έχει πρόσβαση στις υπόλοιπες εφαρμογές και λειτουργίες του συστήματος. Για να το καταφέρετε, είναι απαραίτητο να χρησιμοποιήσετε την εντολή flags και την εντολή –no-sandbox για να απενεργοποιήσετε τη λειτουργία sandbox.
Ας ελπίσουμε ότι οι νέες ενημερώσεις και των δύο προγραμμάτων περιήγησης έχουν ήδη τη νέα έκδοση, ήδη διορθωμένη, της μηχανής απόδοσης Chromium JavaScript V8, με το Chrome 90 να κυκλοφορεί αύριο, όποιο διορθωθεί πρώτο.
Μέσω | Υπολογιστής bleeping
