Chrome 和 Edge 浏览器被曝存在远程代码执行漏洞
番茄系统家园 · 2022-05-12 00:32:31
一位安全研究人员在 Twitter 上发布了一个远程代码执行的零日漏洞,该漏洞可在当前版本的 Google Chrome 和 MicrosoftEdge上运行。
安全研究员 Rajvardhan Agarwal 针对基于 Chromium 的浏览器中 V8JavaScript引擎的远程代码执行漏洞发布了一个有效的概念验证(PoC)。当浏览器加载 PoC HTML 文件及其相应的 JavaScript文件时,Agarwal成功利用此漏洞启动 Windows 计算器程序。虽然 Agarwal 表示,该漏洞已在最新版本的 V8 JavaScript引擎中得到修复,但目前还不清楚Google Chrome 何时会推出相关修复版本。
不过,该漏洞无法逃脱浏览器的沙盒(浏览器的安全边界,可防止远程代码执行漏洞在主机上启动程序)。如果要利用该漏洞,还需要同时利用另一个可使该漏洞逃离浏览器沙盒的漏洞。此外,该漏洞被认为是DataflowSecurity 的 Bruno Keith 和 Niklas Baumstark 在 Pwn2Own 2021上使用的同一个漏洞,当时使用的浏览器是Google Chrome 和 Microsoft Edge。
Chrome 90 即将发布,该版本或许会包含针对该零日漏洞的修复程序。
本文转自OSCHINA
本文标题:Chrome 和 Edge 浏览器被曝存在远程代码执行漏洞
本文地址:https://www.oschina.net/news/137332/chromium-based-browser-rce
免责声明: 凡标注转载/编译字样内容并非本站原创,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如果你觉得本文好,欢迎推荐给朋友阅读;本文链接: https://m.nndssk.com/dngz/331820EbWrXL.html。猜你喜欢
最新应用
热门应用
