Ze ontdekken een zero-day-kwetsbaarheid die van invloed is op de meest recente versies van door Chromium aangedreven browsers
Inhoudsopgave:
Microsoft en Google werken hand in hand samen bij de ontwikkeling van Chromium. Een baan die zijn voordelen heeft, zoals we laatst zagen toen we het hadden over de oplossing voor de bug die YouTube in Windows 10 trof, maar ook het incidentele probleem. Dit is het geval van een zero-day dreiging die beide browsers treft
Een risico dat zowel Edge als Chrome kan treffen en dat in de nieuwste versies van beide browsers daadwerkelijk functioneert. Een dreiging ontdekt door een beveiligingsonderzoeker die executie van externe code kan toestaan en daardoor elke toepassing of elk programma kan starten zonder activering door de gebruiker.
Voor op Chromium gebaseerde browsers
Onderzoeker Rajvardhan Agarwal @r4j0x00 op Twitter heeft een kwetsbaarheid ontdekt en opgelost in Edge en Chrome die de uitvoering van externe code kan vergemakkelijken. Een bug die functioneel is in de huidige versie van Google Chrome en Microsoft Edge
Dit is een kwetsbaarheid voor het uitvoeren van externe code voor de V8 JavaScript-engine in op Chromium gebaseerde browsers die, hoewel is opgelost in de nieuwste versie van de V8 JavaScript-engine, is nog niet geïmplementeerd in beide browsers.
De bug werkt wanneer een HTML PoC en het bijbehorende JavaScript-bestand worden geladen in een op Chromium gebaseerde browser. De onderzoeker heeft de kwetsbaarheid gebruikt om het rekenmachineprogramma van Windows te starten, maar kan het gemakkelijker maken om elk programma te laden
Het positieve is dat deze bug moeilijk uit te voeren is, aangezien het beperkt is tot de sandbox-modus van Chromium die het proces isoleert van de rusten zodat een aanvaller geen toegang heeft tot de rest van de toepassingen en functies van het systeem. Om dit mogelijk te maken, is het nodig om het commando flags en het commando –no-sandbox te gebruiken om de sandbox-modus uit te schakelen.
Het is te hopen dat de nieuwe updates van beide browsers al de nieuwe versie hebben, al gecorrigeerd, van de weergave-engine Chromium JavaScript V8, met Chrome 90 die morgen wordt uitgebracht, afhankelijk van wat het eerst wordt opgelost.
Via | Piepende computer
