Indischer Sicherheitsforscher Rajvardhan Agarwal hat kürzlich einen Proof-of-Concept-Code für eine brandneue Sicherheitsanfälligkeit veröffentlicht, die Google Chrome betrifft, Microsoft Edge-, Mutig, und Opera (alles auf Chrombasis).
Die Sicherheitsanfälligkeit liegt in der V8-JavaScript-Engine, und es ist höchstwahrscheinlich der gleiche Fehler, während Pwn2Own demonstriert 2021 von den Forschern von Dataflow Security, Bruno Keith und Niklas Baumstark. Die beiden Forscher haben gewonnen $100,000 aus dem Hacking-Wettbewerb für die erfolgreiche Ausnutzung der Sicherheitsanfälligkeit zum Ausführen von Schadcode in Chrome- und Edge-Browsern.
Agarwals Proof-of-Concept-Exploit-Code für den neuen Chromfehler
Der indische Forscher hat einen Screenshot auf Twitter geteilt, Dies zeigt, dass die Proof-of-Concept-HTML- und JavaScript-Dateien beide in einen Chromium-basierten Browser geladen werden können. Durch das Laden dieser Dateien wird der Schwachstellen-Exploit initiiert und die Windows-Rechner-App gestartet. Jedoch, Der Exploit muss mit einer weiteren Sicherheitsanfälligkeit verkettet werden, um den Sandbox-Schutz von Chrome zu umgehen.
Wie kam Agarwal auf den PoC-Code??
Der Forscher hat den vom Chromium-Team veröffentlichten Patch höchstwahrscheinlich kurz nach der Weitergabe von Details zur Sicherheitsanfälligkeit an Google rückentwickelt.
Tatsächlich, Google hat einen Patch veröffentlicht, der den Fehler in der neuesten Version von V8 behebt. Jedoch, Der Patch wurde nicht auf den stabilen Kanal angewendet, Schaffung einer Möglichkeit für Hacker, anfällige Browser auszunutzen. Sie sollten nach Chrome Ausschau halten 90 die später heute veröffentlicht werden sollte.
Letztes Jahr, Google hat einen weiteren Fehler in Chrome für den Desktop behoben - CVE-2020-16009, als unangemessener Implementierungsfehler in V8 beschrieben. Der Fehler wurde bei Remote-Ausführungsangriffen über eine gestaltete HTML-Seite ausgenutzt.
Schutz vor Schwachstellen in Chromium-basierten Browsern
Positiv ist, dass, Google und Microsoft planen eine neue Verbesserung der Sicherheit von Microsoft Edge und Google Chrome. Beide Chrommium-basierten Browser unterstützen eine neue Sicherheitsfunktion von Intel. Die sogenannte CET-Funktion, oder Control-Flow-Enforcement-Technologie verhindert Schwachstellen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: