Indisk sikkerhedsforsker Rajvardhan Agarwal for nylig offentliggjort en proof-of-concept-kode til en helt ny sårbarhed, der påvirker Google Chrome, Microsoft Edge, Modig, og Opera (alle Chrom-baserede).
Sårbarheden findes i V8 JavaScript-motoren, og det er sandsynligvis den samme fejl, demonstreret under Pwn2Own 2021 af Dataflow Securitys forskere Bruno Keith og Niklas Baumstark. De to forskere vandt $100,000 fra hacking-konkurrencen for succesfuld udnyttelse af sårbarheden til at køre ondsindet kode i Chrome- og Edge-browsere.
Agarwals Proof-of-Concept-udnyttelseskode til den nye Chromium-fejl
Den indiske forsker delte et screenshot på Twitter, hvilket afslører, at proof-of-concept HTML- og JavaScript-filer begge kan indlæses i en Chromium-baseret browser. Indlæsning af disse filer starter sårbarhedsudnyttelsen og starter også Windows-regnemaskine-appen. Men, udnyttelsen skal lænkes med en anden sårbarhed for at omgå Chromes sandkassebeskyttelse.
Hvordan kom Agarwal med PoC-koden?
Forskeren modsatte sandsynligvis den patch, der blev frigivet af Chromiums team kort efter, at detaljer om sårbarheden blev delt med Google.
Ja, en patch er frigivet af Google, der adresserer fejlen i V8s seneste version. Men, plasteret er ikke blevet anvendt på den stabile kanal, skaber en mulighed for hackere at udnytte sårbare browsere. Du skal være på udkig efter Chrome 90 som skulle frigives senere i dag.
Sidste år, Google lappede endnu en fejl i Chrome til desktop - CVE-2020-16009, beskrevet som en upassende implementeringsfejl i V8. Fejlen blev udnyttet i angreb med fjernudførelse gennem en udformet HTML-side.
Beskyttelse mod sårbarheder i Chrom-baserede browsere
På den positive side, Google og Microsoft planlægger et nyt forbedring af sikkerheden i Microsoft Edge og Google Chrome. Begge Chrommium-baserede browsere understøtter en ny sikkerhedsfunktion leveret af Intel. Den såkaldte CET-funktion, eller Control-flow Enforcement Technology forhindrer sårbarheder.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: