De opdager en nul-dages sårbarhed, der påvirker de seneste versioner af Chromium-drevne browsere
Indholdsfortegnelse:
Microsoft og Google samarbejder hånd i hånd om udviklingen af Chromium. Et job, der har sine fordele, som vi så den anden dag, da vi t alte om løsningen på fejlen, der ramte YouTube i Windows 10, men også et enkelt problem. Dette er tilfældet med en nuldagstrussel, der påvirker begge browsere
En risiko, der kan påvirke både Edge og Chrome og faktisk fungerer i de nyeste versioner af begge browsere. En trussel opdaget af en sikkerhedsforsker, der kan tillade fjernudførelse af kode og derved starte ethvert program eller program uden brugeraktivering.
Til Chromium-baserede browsere
Researcher Rajvardhan Agarwal @r4j0x00 på Twitter har opdaget og rettet en sårbarhed i Edge og Chrome, der kan lette fjernudførelse af kode. En fejl, der er funktionel i den aktuelle version af Google Chrome og Microsoft Edge
Dette er en sårbarhed for fjernudførelse af kode for V8 JavaScript-motoren i Chromium-baserede browsere, som, selvom er rettet i den seneste version af V8 JavaScript-motoren, er endnu ikke implementeret i begge browsere.
Bugen virker, når en HTML PoC og den tilsvarende JavaScript-fil indlæses i en Chromium-baseret browser. Forskeren har brugt sårbarheden til at starte Windows-beregnerprogrammet, men kan gøre det lettere at indlæse ethvert program
Det positive er, at denne fejl er svær at udføre, da den er begrænset til Chromiums sandbox-tilstand, som isolerer processen fra hvile, så en hacker ikke kan få adgang til resten af systemets applikationer og funktioner. For at gøre det muligt er det nødvendigt at bruge flag-kommandoen og kommandoen –no-sandbox for at deaktivere sandbox-tilstand.
Det må håbes, at de nye opdateringer af begge browsere allerede har den nye version, allerede rettet, af gengivelsesmaskinen Chromium JavaScript V8, hvor Chrome 90 frigives i morgen, alt efter hvad der løser det først.
Via | Blødende computer
