События

Google отказалась исправлять RCE-уязвимость в Chrome

Во всех версиях браузера Chrome, за исключением последней (Chrome 60), присутствует уязвимость, позволяющая удаленно выполнить код. Проблема была обнаружена исследователем безопасности, пожелавшим остаться анонимным и сообщившим об уязвимости через программу Beyond Security SecuriTeam Secure Disclosure.

В ответ на уведомление об уязвимости инженеры Google сообщили Beyond Security о том, что не намерены исправлять проблему, поскольку она не затрагивает последнюю версию браузера. Удивленные таким ответом, эксперты Beyond Security выпустили PoC-код для эксплуатации уязвимости.

Проблема затрагивает компонент Turbofan для оптимизации JavaScript-кода. Для осуществления атаки злоумышленник должен заманить жертву на подконтрольный ему web-сайт с вредоносным JavaScript-кодом. Проэксплуатировав уязвимость, атакующий сможет выполнить код в браузере жертвы. В отчете об уязвимости не упоминается обход песочницы для выполнения кода на уровне ПК. Тем не менее, с ее помощью хакер может похитить данные, доступные через браузер (файлы cookie, пароли и т.д.).

Затрагивает ли уязвимость проект Chromium и другие браузеры, использующие V8 Turbofan, неизвестно.

Источник

Автор: Сергей Куприянов
18.08.2017 (10:31)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.