Chrome和Edge远程代码执行0Day漏洞曝光

Chrome和Edge远程代码执行0Day漏洞曝光

黑客资讯访客1970-01-01 8:00:003233A+A-

北京时间4月13日凌晨,安全研究人员Rajvardhan Agarwal在推特上发布了一个可远程代码执行(RCE)的0Day漏洞,该漏洞可在当前版本的谷歌Chrome浏览器和微软Edge上运行。

Rajvardhan Agarwal推特截图

Agarwal发布的漏洞,是基于Chromium内核的浏览器中V8 JavaScript引擎的远程代码执行漏洞,同时还发布了该漏洞的PoC(概念验证)

当Chrome或Edge浏览器加载PoC HTML文件及其对应的JavaScript文件时,该漏洞可被利用来启动Windows计算器(calc.exe)程序。

该漏洞是一个已经公开披露的安全漏洞,但在当前的浏览器版本中还没有修补。Agarwal表示,在最新版本的V8 JavaScript引擎中该漏洞已经被修复,但目前还不清楚谷歌何时会更新Chrome浏览器。

好消息是,Chrome浏览器沙盒可以拦截该漏洞。但如果该漏洞与另一个漏洞进行链锁,就有可能躲过Chrome沙盒的检测。

Chrome浏览器的沙盒是一道安全防线,可以防止远程代码执行漏洞在主机上启动程序。

为了测试该漏洞,研究者关闭了浏览器Edge 89.0.774.76版本和Chrome 89.0.4389.114版本的沙盒。在沙盒被禁用的情况下,该漏洞可以在研究者的Windows 10设备上远程启动计算器。

有研究人员认为,该漏洞与Dataflow Security的安全研究人员Bruno Keith和Niklas Baumstark,在Pwn2Own 2021黑客大赛上使用的漏洞相同,研究人员利用它入侵了谷歌Chrome和微软Edge。(注:Bruno Keith和Niklas Baumstark在大赛上通过Typer Mismatch错误,成功利用Chrome渲染器和Edge,获得了10万美金的收入。)

谷歌预计在4月14日发布Chrome 90版本,希望在该版本中漏洞已被修复。有媒体已经就该漏洞向谷歌致信,但还未收到回复。

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 青迟美咩2022-06-06 15:32:28
  • 北京时间4月13日凌晨,安全研究人员Rajvardhan Agarwal在推特上发布了一个可远程代码执行(RCE)的0Day漏洞,该漏洞可在当前版本的谷歌Chrome浏览器和微软Edge上运行。Rajvardhan
  • 可难书尽2022-06-06 18:53:58
  • mium内核的浏览器中V8 JavaScript引擎的远程代码执行漏洞,同时还发布了该漏洞的PoC(概念验证)。当Chrome或Edge浏览器加载PoC HTML文件及其对应的JavaScript文件时,该漏洞可被利用来启动Windows计算器(calc.exe)程序。该漏洞是
  • 馥妴秙暔2022-06-07 01:25:30
  • ow Security的安全研究人员Bruno Keith和Niklas Baumstark,在Pwn2Own 2021黑客大赛上使用的漏洞相同,研究人员利用它入侵了谷歌Chrome和微软Edge。(注:Bruno Keith和Niklas Baumstark在大赛上通过Typer Mismatc

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理