De oppdager en null-dagers sårbarhet som påvirker de nyeste versjonene av Chromium-drevne nettlesere

Microsoft og Google samarbeider hånd i hånd om utviklingen av Chromium. En jobb som har sine fordeler, som vi så her om dagen da vi snakket om løsningen på feilen som rammet YouTube i Windows 10, men også et og annet problem. Dette er tilfellet med en nulldagstrussel som påvirker begge nettleserne

En risiko som kan påvirke både Edge og Chrome og som faktisk fungerer i de nyeste versjonene av begge nettleserne. En trussel oppdaget av en sikkerhetsforsker som kan tillate ekstern kjøring av kode og dermed starte et hvilket som helst program eller program uten brukeraktivering.

For Chromium-baserte nettlesere

Researcher Rajvardhan Agarwal @r4j0x00 på Twitter har oppdaget og fikset en sårbarhet i Edge og Chrome som kan lette ekstern kjøring av kode. En feil som er funksjonell i gjeldende versjon av Google Chrome og Microsoft Edge

Dette er et sikkerhetsproblem for ekstern kjøring av kode for V8 JavaScript-motoren i Chromium-baserte nettlesere som, selv om er løst i den nyeste versjonen av V8 JavaScript-motoren, har ennå ikke blitt implementert i begge nettleserne.

Feilen fungerer når en HTML PoC og den tilsvarende JavaScript-filen lastes inn i en Chromium-basert nettleser. Forskeren har brukt sårbarheten til å starte Windows-kalkulatorprogrammet, men kan gjøre det lettere å laste inn et hvilket som helst program

Det positive er at denne feilen er vanskelig å utføre, da den er begrenset til Chromiums sandkassemodus som isolerer prosessen fra hvile slik at en angriper ikke kan få tilgang til resten av applikasjonene og funksjonene til systemet. For å gjøre det mulig, er det nødvendig å bruke flaggkommandoen og kommandoen –no-sandbox for å deaktivere sandkassemodus.

Det er å håpe at de nye oppdateringene av begge nettleserne allerede har den nye versjonen, allerede korrigert, av gjengivelsesmotoren Chromium JavaScript V8, med Chrome 90 utgitt i morgen, avhengig av hva som løser det først.

Via | Blødende datamaskin