一位安全性科研员工在 Twitter 上推送了一个远程控制代码执行的零日漏洞,该漏洞可在现阶段版本的 Google Chrome 和 Microsoft Edge 上运作。
安全性研究者 Rajvardhan Agarwal 对于根据 Chromium 的浏览器中 V8 JavaScript 模块的远程控制代码执行漏洞公布了一个合理的定义认证(PoC)。当浏览器载入 PoC HTML 文档以及对应的 JavaScript 文档时,Agarwal 取得成功利用此漏洞运行 Windows 计算方式程序流程。尽管 Agarwal 表明,该漏洞已在全新版本的 V8 JavaScript 模块中获得修补,但现阶段还不清楚 Google Chrome 什么时候会发布有关修补版本。
但是,该漏洞挣不脱浏览器的沙盒游戏(浏览器的安全性界限,可避免远程控制代码执行漏洞在服务器上运行程序流程)。假如要利用该漏洞,还必须与此同时利用另一个可让该漏洞逃出浏览器沙盒游戏的漏洞。除此之外,该漏洞被觉得是 Dataflow Security 的 Bruno Keith 和 Niklas Baumstark 在 Pwn2Own 2021 上采用的同一个漏洞,那时候采用的浏览器是 Google Chrome 和 Microsoft Edge。
Chrome 90 将要公布,该版本也许会包括对于该零日漏洞的修补程序流程。
文中转自OSCHINA
本文文章标题:Chrome 和 Edge 浏览器被曝存有远程控制代码执行漏洞
文中详细地址:https://www.oschina.net/news/137332/chromium-based-browser-rce