พวกเขาค้นพบช่องโหว่ซีโร่เดย์ที่ส่งผลกระทบต่อเบราว์เซอร์ที่ใช้ Chromium เวอร์ชันล่าสุด
สารบัญ:
Microsoft และ Google ร่วมมือกันในการพัฒนา Chromium งานที่มีข้อดีอย่างที่เราเห็นเมื่อวันก่อนเมื่อพูดถึงวิธีแก้ไขข้อบกพร่องที่ส่งผลกระทบต่อ YouTube ใน Windows 10 แต่ยังรวมถึงปัญหาที่เกิดขึ้นเป็นครั้งคราวด้วย นี่คือกรณีของภัยคุกคามแบบซีโร่เดย์ที่ส่งผลกระทบต่อทั้งสองเบราว์เซอร์
ความเสี่ยงที่อาจส่งผลต่อทั้ง Edge และ Chrome และใช้งานได้จริงในเบราว์เซอร์ทั้งสองเวอร์ชันล่าสุด ภัยคุกคามที่ค้นพบโดยนักวิจัยด้านความปลอดภัยที่สามารถ อนุญาตการเรียกใช้โค้ดจากระยะไกล และด้วยเหตุนี้จึงเปิดแอปพลิเคชันหรือโปรแกรมใด ๆ โดยไม่ต้องเปิดใช้งานผู้ใช้
สำหรับเบราว์เซอร์ที่ใช้โครเมียม
นักวิจัย Rajvardhan Agarwal @r4j0x00 บน Twitter ได้ค้นพบและแก้ไขช่องโหว่ใน Edge และ Chrome ที่อาจอำนวยความสะดวกในการเรียกใช้โค้ดจากระยะไกล จุดบกพร่องที่ ใช้งานได้ใน Google Chrome และ Microsoft Edge เวอร์ชันปัจจุบัน
นี่คือช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลสำหรับเอ็นจิ้น V8 JavaScript ในเบราว์เซอร์ที่ใช้ Chromium แม้ว่า ได้รับการแก้ไขแล้วในเอ็นจิ้น V8 JavaScript เวอร์ชันล่าสุด ยังไม่ได้ใช้งานในทั้งสองเบราว์เซอร์
ข้อผิดพลาดจะทำงานเมื่อโหลด HTML PoC และไฟล์ JavaScript ที่สอดคล้องกันในเบราว์เซอร์ที่ใช้ Chromium ผู้วิจัยได้ใช้ช่องโหว่นี้ในการเริ่มโปรแกรมเครื่องคิดเลขของ Windows แต่ อาจทำให้โหลดโปรแกรมใด ๆ ได้ง่ายขึ้น
ส่วนที่ดีคือข้อผิดพลาดนี้ดำเนินการได้ยาก เนื่องจาก ถูกจำกัดไว้เฉพาะโหมดแซนด์บ็อกซ์ของ Chromium ซึ่งแยกกระบวนการออกจาก พักเพื่อให้ผู้โจมตีไม่สามารถเข้าถึงแอปพลิเคชันและฟังก์ชันที่เหลือของระบบได้ เพื่อให้เป็นไปได้ จำเป็นต้องใช้คำสั่งแฟล็กและคำสั่ง –no-sandbox เพื่อปิดใช้งานโหมดแซนด์บ็อกซ์
หวังว่าการอัปเดตใหม่ของเบราว์เซอร์ทั้งสอง มีเวอร์ชันใหม่แล้ว แก้ไขแล้วของเครื่องมือแสดงผล Chromium JavaScript V8 พร้อม Chrome 90 ที่จะเปิดตัวในวันพรุ่งนี้ แล้วแต่ว่าจะแก้ปัญหาใดก่อน
Via | คอมพิวเตอร์หลับ
