הם מגלים פגיעות של יום אפס שמשפיעה על הגרסאות העדכניות ביותר של דפדפנים המופעלים על ידי Chromium
תוכן עניינים:
Microsoft ו-Google משתפות פעולה יד ביד בפיתוח Chromium. עבודה שיש לה את היתרונות שלה, כפי שראינו לפני כמה ימים כשדיברנו על הפתרון לבאג שהשפיע על יוטיוב בווינדוס 10, אבל גם על בעיה מדי פעם. זה המקרה של איום יום אפס שמשפיע על שני הדפדפנים
סיכון שיכול להשפיע גם על Edge וגם על Chrome ולמעשה מתפקד בגרסאות האחרונות של שני הדפדפנים. איום שהתגלה על ידי חוקר אבטחה שיכול לאפשר ביצוע קוד מרחוק ובכך להפעיל כל יישום או תוכנית ללא הפעלת משתמש.
לדפדפנים מבוססי Chromium
Researcher Rajvardhan Agarwal @r4j0x00 בטוויטר גילה ותיקן פגיעות ב-Edge וב-Chrome שעשויה להקל על ביצוע קוד מרחוק. באג שפונקציונלי בגרסה הנוכחית של Google Chrome ו-Microsoft Edge
זוהי פגיעות של ביצוע קוד מרחוק עבור מנוע V8 JavaScript בדפדפנים מבוססי Chromium, שלמרות שתוקנה בגרסה העדכנית ביותר של מנוע V8 JavaScript, עדיין לא יושם בשני הדפדפנים.
הבאג פועל כאשר HTML PoC וקובץ ה-JavaScript המתאים נטענים בדפדפן מבוסס Chromium. החוקר השתמש בפגיעות כדי להפעיל את תוכנית המחשבון של Windows, אך עשוי להקל על טעינת כל תוכנית
החלק החיובי הוא שהבאג הזה קשה לביצוע, שכן הוא מוגבל למצב ארגז החול של Chromium המבודד את התהליך מה- השאר כך שתוקף לא יוכל לגשת לשאר היישומים והפונקציות של המערכת. כדי לאפשר זאת, יש צורך להשתמש בפקודה flags ובפקודה –no-sandbox כדי להשבית מצב ארגז חול.
יש לקוות שלעדכונים החדשים של שני הדפדפנים כבר יש את הגרסה החדשה, שכבר תוקנה, של מנוע העיבוד Chromium JavaScript V8, עם Chrome 90 שייצא מחר, מה שיתקן את זה קודם.
Via | מחשב מצמרר
