Pesquisador de segurança indiano Rajvardhan Agarwal publicou recentemente um código de prova de conceito para uma nova vulnerabilidade que afeta o Google Chrome, Microsoft borda, Bravo, e Opera (todos baseados em cromo).
A vulnerabilidade reside no motor V8 JavaScript, e é provavelmente a mesma falha, demonstrado durante Pwn2Own 2021 pelos pesquisadores da Dataflow Security Bruno Keith e Niklas Baumstark. Os dois pesquisadores ganharam $100,000 do concurso de hacking para explorar com sucesso a vulnerabilidade para executar código malicioso nos navegadores Chrome e Edge.
Código de exploração de prova de conceito de Agarwal para a nova falha de cromo
O pesquisador indiano compartilhou uma captura de tela no Twitter, que revela que os arquivos HTML e JavaScript de prova de conceito podem ser carregados em um navegador baseado em Chromium. Carregar esses arquivos iniciará a exploração da vulnerabilidade e também iniciará o aplicativo de calculadora do Windows. Contudo, a exploração precisa ser encadeada com outra vulnerabilidade para contornar as proteções sandbox do Chrome.
Como Agarwal criou o código PoC?
O pesquisador provavelmente fez a engenharia reversa do patch lançado pela equipe do Chromium logo depois que os detalhes da vulnerabilidade foram compartilhados com o Google.
De fato, um patch foi lançado pelo Google corrigindo a falha na versão mais recente do V8. Contudo, o patch não foi aplicado ao canal estável, criando uma oportunidade para os hackers explorarem navegadores vulneráveis. Você deve estar atento ao Chrome 90 que deve ser lançado ainda hoje.
Ano passado, O Google corrigiu outro bug no Chrome para desktop - CVE-2020-16009, descrito como uma falha de implementação inadequada no V8. O bug foi explorado em ataques de execução remota por meio de uma página HTML criada.
Proteção contra vulnerabilidades em navegadores baseados em Chromium
Pelo lado positivo, Google e Microsoft estão planejando um novo melhoria da segurança do Microsoft Edge e Google Chrome. Ambos os navegadores baseados em Chrommium suportarão um novo recurso de segurança fornecido pela Intel. O chamado recurso CET, ou Control-flow Enforcement Technology irá prevenir vulnerabilidades.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: