Ricercatore indiano in materia di sicurezza Rajvardhan Agarwal ha recentemente pubblicato un codice proof-of-concept per una nuovissima vulnerabilità che interessa Google Chrome, Microsoft Edge, Coraggioso, e Opera (tutto a base di cromo).
La vulnerabilità risiede nel motore JavaScript V8, ed è molto probabilmente lo stesso difetto, dimostrato durante Pwn2Own 2021 dai ricercatori di Dataflow Security Bruno Keith e Niklas Baumstark. I due ricercatori hanno vinto $100,000 dal concorso di hacking per sfruttare con successo la vulnerabilità per eseguire codice dannoso nei browser Chrome ed Edge.
Codice di exploit Proof of Concept di Agarwal per il nuovo difetto del cromo
Il ricercatore indiano ha condiviso uno screenshot su Twitter, che rivela che i file HTML e JavaScript di prova possono essere caricati entrambi in un browser basato su Chromium. Il caricamento di questi file avvierà l'exploit di vulnerabilità e avvierà anche l'app calcolatrice di Windows. Tuttavia, l'exploit deve essere concatenato con un'altra vulnerabilità per aggirare le protezioni sandbox di Chrome.
Come ha inventato Agarwal il codice PoC?
Il ricercatore molto probabilmente ha decodificato la patch rilasciata dal team di Chromium poco dopo che i dettagli della vulnerabilità sono stati condivisi con Google.
Infatti, una patch è stata rilasciata da Google per risolvere il problema nell'ultima versione di V8. Tuttavia, la patch non è stata applicata al canale stabile, creando un'opportunità per gli hacker di sfruttare i browser vulnerabili. Dovresti essere alla ricerca di Chrome 90 che dovrebbe essere rilasciato più tardi oggi.
L'anno scorso, Google ha corretto un altro bug in Chrome per desktop - CVE-2020-16009, descritto come un difetto di implementazione inappropriato in V8. Il bug è stato sfruttato negli attacchi di esecuzione remota tramite una pagina HTML predisposta.
Protezione contro le vulnerabilità nei browser basati su Chromium
Sul lato positivo, Google e Microsoft stanno progettando un nuovo miglioramento della sicurezza di Microsoft Edge e Google Chrome. Entrambi i browser basati su Chrommium supporteranno una nuova funzionalità di sicurezza fornita da Intel. La cosiddetta funzione CET, o la tecnologia di applicazione del flusso di controllo previene le vulnerabilità.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: