Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Опубликован второй на неделе эксплоит для Chrome и Edge

16/04/21

chrome vulnerability

Второй раз на этой неделе исследователи безопасности публикуют в Сети PoC-эксплоит для запуска вредоносного кода в Chrome, Edge, Vivaldi, Opera и других браузерах на базе Chromium. Уязвимость затрагивает JavaScript-движок V8 и уже исправлена в его исходном коде, но исправление пока еще не интегрировано ни с кодовой базой Chromium, ни с базирующимися на нем проектами.

Авторы эксплоита не предоставили никаких подробностей о его создании, но, скорее всего, они изучили журнал изменений V8 и собрали PoC-код для одной из исправленных уязвимостей. Именно это и сделал индийский исследователь безопасности Раджвардхан Агарвал (Rajvardhan Agarwal), ранее на этой неделе опубликовавший эксплоит для Chrome, Edge, Vivaldi, Opera и других браузеров на базе Chromium. PoC-код предназначался для уязвимости в V8, обнаруженной на прошлой неделе в ходе соревнований Pwn2Own. И Google, и Microsoft уже исправили ее.

Как и в случае с PoC-кодом Раджвардхана Агарвала, новый эксплоит также является неполным и обеспечивает только вторую часть атаки, а именно выполнение кода. Для успешного осуществления атаки также потребуется еще один эксплоит, позволяющий обойти песочницу браузера. Тем не менее, если использовать его вместе с эксплоитом для обхода песочницы или для атаки на приложение, использующее встроенные/текстовые версии браузеров на базе Chromium, можно получить полный контроль над системой через классическое переполнение буфера.

Темы:поисковикиУгрозыGoogle CromePoC-эксплоиты
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...