Chrome、Edge零日漏洞“泄漏”引发恐慌

安全 应用安全 漏洞
4月13日,安全研究人员Rajvardhan Agarwal在Twitter上“不小心”发布了一个有效的Chromium(Chrome的开源代码项目,微软的Edge也基于该项目)概念验证(PoC)零日漏洞。

4月13日,安全研究人员Rajvardhan Agarwal在Twitter上“不小心”发布了一个有效的Chromium(Chrome的开源代码项目,微软的Edge也基于该项目)概念验证(PoC)零日漏洞,该漏洞是基于Chromium的浏览器中V8 JavaScript引擎的远程代码执行漏洞,漏洞严重性评分高达9.8。

虽然Agarwal意识到问题严重性后立刻删除了推文(上图),但是该漏洞的披露依然引发了全球安全人士的恐慌,因为目前的Chrome和Edge浏览器都未修复该漏洞。

虽然Agarwal指出该漏洞已在V8 JavaScript引擎的最新版本中修复,但尚不清楚Google何时推出修复的Google Chrome版本(预计是本周三)。

在基于Chromium的浏览器中加载PoC HTML文件及其相应的JavaScript文件时,它将利用此漏洞启动Windows计算器(calc.exe)程序。

零日漏洞通常是开发人员的噩梦,但好消息是Agarwal披露的零日漏洞目前无法逃脱浏览器的沙箱。Chrome沙箱是浏览器的安全边界,可防止远程执行代码漏洞在主机上启动程序。

要想使Agarwal的零时RCE漏洞发挥作用,还需要同时利用另一个漏洞,帮助前者逃脱Chromium沙箱。

据悉,该漏洞与Dataflow Security的Bruno Keith和Niklas Baumstark在刚结束的Pwn2Own 2021大会上使用的漏洞相同,研究人员在该漏洞中利用了Google Chrome和Microsoft Edge。

预计Google将在本周三发布Chrome 90稳定版本,全球的安全团队都需要留意这个即将发布的版本是否包含针对上述RCE零日漏洞的修复程序。

【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2021-02-06 09:57:00

GoogleChrome漏洞

2022-03-28 18:30:54

零日漏洞Chrome

2021-03-05 16:11:54

Chrome零日漏洞谷歌

2009-03-23 09:41:11

2022-07-05 15:12:58

谷歌Chrome零日漏洞

2020-10-29 09:45:58

零日漏洞Chrome攻击

2019-08-26 00:30:48

2020-11-04 14:59:01

GoogleChrome更新

2021-10-01 12:15:59

谷歌Chrome漏洞

2015-04-21 10:47:17

2015-01-19 10:21:33

2022-02-17 16:03:10

Chrome安全漏洞浏览器

2022-04-01 10:04:27

]零日漏洞漏洞勒索软件

2009-11-13 08:41:46

2013-10-15 10:22:43

2021-01-29 17:10:27

ChromeZinc黑客

2021-04-13 16:40:18

0Day漏洞远程代码

2014-05-05 10:12:35

2013-04-09 16:42:55

2019-09-04 09:08:59

点赞
收藏

51CTO技术栈公众号