Investigador de seguridad indio Rajvardhan Agarwal publicó recientemente un código de prueba de concepto para una nueva vulnerabilidad que afecta a Google Chrome, Microsoft Edge, Valiente, y Opera (todo a base de cromo).
La vulnerabilidad reside en el motor JavaScript V8, y probablemente sea el mismo defecto, demostrado durante Pwn2Own 2021 por los investigadores de Dataflow Security, Bruno Keith y Niklas Baumstark. Los dos investigadores ganaron $100,000 del concurso de piratería por explotar con éxito la vulnerabilidad para ejecutar código malicioso dentro de los navegadores Chrome y Edge.
Código de explotación de prueba de concepto de Agarwal para el nuevo defecto de cromo
El investigador indio compartió una captura de pantalla en Twitter., que revela que los archivos HTML y JavaScript de prueba de concepto se pueden cargar en un navegador basado en Chromium. La carga de estos archivos iniciará la explotación de vulnerabilidades y también iniciará la aplicación de calculadora de Windows.. Sin embargo, el exploit debe estar encadenado con otra vulnerabilidad para eludir las protecciones de la zona de pruebas de Chrome.
¿Cómo se le ocurrió a Agarwal el código PoC??
Lo más probable es que el investigador haya realizado ingeniería inversa del parche lanzado por el equipo de Chromium poco después de que se compartieran los detalles de la vulnerabilidad con Google..
En efecto, Google ha lanzado un parche que corrige la falla en la última versión de V8. Sin embargo, el parche no se ha aplicado al canal estable, creando una oportunidad para que los piratas informáticos se aprovechen de los navegadores vulnerables. Deberías estar atento a Chrome 90 que debería ser lanzado hoy más tarde.
El año pasado, Google corrigió otro error en Chrome para escritorio: CVE-2020-16009, descrito como una falla de implementación inapropiada en V8. El error se aprovechó en ataques de ejecución remota a través de una página HTML diseñada.
Protección contra vulnerabilidades en navegadores basados en Chromium
En el lado positivo, Google y Microsoft están planeando una nueva mejora de la seguridad de Microsoft Edge y Google Chrome. Ambos navegadores basados en Chrommium admitirán una nueva función de seguridad proporcionada por Intel. La llamada función CET, o la tecnología de aplicación del flujo de control evitará vulnerabilidades.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: