北京时间4月13日凌晨,安全研究人员Rajvardhan Agarwal在推特上发布了一个可远程代码执行(RCE)的0Day漏洞,该漏洞可在当前版本的谷歌Chrome浏览器和微软Edge上运行。
Rajvardhan Agarwal推特截图
Agarwal发布的漏洞,是基于Chromium内核的浏览器中V8 JavaScript引擎的远程代码执行漏洞,同时还发布了该漏洞的PoC(概念验证)。
当Chrome或Edge浏览器加载PoC HTML文件及其对应的JavaScript文件时,该漏洞可被利用来启动Windows计算器(calc.exe)程序。
该漏洞是一个已经公开披露的安全漏洞,但在当前的浏览器版本中还没有修补。Agarwal表示,在最新版本的V8 JavaScript引擎中该漏洞已经被修复,但目前还不清楚谷歌何时会更新Chrome浏览器。
好消息是,Chrome浏览器沙盒可以拦截该漏洞。但如果该漏洞与另一个漏洞进行链锁,就有可能躲过Chrome沙盒的检测。
Chrome浏览器的沙盒是一道安全防线,可以防止远程代码执行漏洞在主机上启动程序。
为了测试该漏洞,研究者关闭了浏览器Edge 89.0.774.76版本和Chrome 89.0.4389.114版本的沙盒。在沙盒被禁用的情况下,该漏洞可以在研究者的Windows 10设备上远程启动计算器。
有研究人员认为,该漏洞与Dataflow Security的安全研究人员Bruno Keith和Niklas Baumstark,在Pwn2Own 2021黑客大赛上使用的漏洞相同,研究人员利用它入侵了谷歌Chrome和微软Edge。(注:Bruno Keith和Niklas Baumstark在大赛上通过Typer Mismatch错误,成功利用Chrome渲染器和Edge,获得了10万美金的收入。)
谷歌预计在4月14日发布Chrome 90版本,希望在该版本中漏洞已被修复。有媒体已经就该漏洞向谷歌致信,但还未收到回复。