Indiase veiligheidsonderzoeker Rajvardhan Agarwal heeft onlangs een proof-of-concept-code gepubliceerd voor een gloednieuwe kwetsbaarheid die Google Chrome treft, Microsoft Edge, dapper, en Opera (allemaal op Chromium gebaseerd).
De kwetsbaarheid zit in de V8 JavaScript-engine, en het is hoogstwaarschijnlijk dezelfde fout, gedemonstreerd tijdens Pwn2Own 2021 door de onderzoekers Bruno Keith en Niklas Baumstark van Dataflow Security. De twee onderzoekers wonnen $100,000 van de hackwedstrijd voor het succesvol misbruiken van de kwetsbaarheid om schadelijke code uit te voeren in Chrome- en Edge-browsers.
Agarwals Proof-of-Concept Exploit-code voor de nieuwe Chromium-fout
De Indiase onderzoeker deelde een screenshot op Twitter, waaruit blijkt dat de proof-of-concept HTML- en JavaScript-bestanden beide kunnen worden geladen in een op Chromium gebaseerde browser. Door deze bestanden te laden, wordt de kwetsbaarheid misbruikt en wordt ook de Windows-rekenmachine-app gestart. Echter, de exploit moet worden gekoppeld aan een andere kwetsbaarheid om de sandbox-beveiligingen van Chrome te omzeilen.
Hoe kwam Agarwal op de proppen met de PoC-code?
De onderzoeker heeft waarschijnlijk een reverse-engineering toegepast op de patch die door het Chromium-team is uitgebracht, kort nadat de details van de kwetsbaarheid met Google waren gedeeld.
Inderdaad, er is een patch uitgebracht door Google die het probleem in de nieuwste versie van V8 verhelpt. Echter, de patch is niet toegepast op het stabiele kanaal, het creëren van een mogelijkheid voor hackers om kwetsbare browsers te misbruiken. U moet uitkijken naar Chrome 90 die later vandaag zou moeten worden vrijgegeven.
Vorig jaar, Google repareerde nog een bug in Chrome voor desktop - CVE-2020-16009, beschreven als een ongepaste implementatiefout in V8. De bug is misbruikt bij aanvallen met externe uitvoering via een vervaardigde HTML-pagina.
Bescherming tegen kwetsbaarheden in op Chromium gebaseerde browsers
Aan de positieve kant, Google en Microsoft plannen een nieuwe verbetering van de beveiliging van Microsoft Edge en Google Chrome. Beide op Chrommium gebaseerde browsers ondersteunen een nieuwe beveiligingsfunctie van Intel. De zogenaamde CET-functie, of Control-flow Enforcement Technology voorkomt kwetsbaarheden.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: