Họ phát hiện ra lỗ hổng zero-day ảnh hưởng đến các phiên bản mới nhất của trình duyệt hỗ trợ Chromium

Microsoft và Google cùng hợp tác phát triển Chromium. Một công việc có những ưu điểm của nó, như chúng ta đã thấy hôm trước khi nói về giải pháp cho lỗi ảnh hưởng đến YouTube trong Windows 10, nhưng cũng có một số sự cố không thường xuyên. Đây là trường hợp mối đe dọa zero-day ảnh hưởng đến cả hai trình duyệt

Một rủi ro có thể ảnh hưởng đến cả Edge và Chrome và thực sự hoạt động trong các phiên bản mới nhất của cả hai trình duyệt. Một mối đe dọa được phát hiện bởi một nhà nghiên cứu bảo mật có thể cho phép thực thi mã từ xa và do đó khởi chạy bất kỳ ứng dụng hoặc chương trình nào mà không cần người dùng kích hoạt.

Dành cho trình duyệt dựa trên Chromium

Nhà nghiên cứu Rajvardhan Agarwal @r4j0x00 trên Twitter đã phát hiện và khắc phục một lỗ hổng trong Edge và Chrome có thể hỗ trợ thực thi mã từ xa. Một lỗi function trong phiên bản hiện tại của Google Chrome và Microsoft Edge

Đây là lỗ hổng thực thi mã từ xa dành cho công cụ JavaScript V8 trong các trình duyệt dựa trên Chromium, mặc dù đã được sửa trong phiên bản mới nhất của công cụ JavaScript V8, chưa được triển khai trên cả hai trình duyệt.

Lỗi xảy ra khi HTML PoC và tệp JavaScript tương ứng được tải trong trình duyệt dựa trên Chromium. Nhà nghiên cứu đã sử dụng lỗ hổng để khởi động chương trình máy tính Windows, nhưng có thể giúp tải bất kỳ chương trình nào dễ dàng hơn

Phần tích cực là lỗi này rất khó thực hiện, vì nó bị giới hạn ở chế độ hộp cát của Chromium cách ly quá trình khỏi phần còn lại để kẻ tấn công không thể truy cập phần còn lại của các ứng dụng và chức năng của hệ thống. Để có thể thực hiện được, cần sử dụng lệnh flags và lệnh –no-sandbox để tắt chế độ hộp cát.

Hy vọng rằng các bản cập nhật mới của cả hai trình duyệt đã có phiên bản mới, đã được sửa lỗi, của công cụ kết xuất Chromium JavaScript V8, với Chrome 90 sẽ được phát hành vào ngày mai, tùy theo điều kiện nào sửa lỗi đó trước.

Via | Máy tính đang ngủ