安全专家发现基于Chromium的浏览器漏洞 可绕过沙盒远程执行

2021年04月14日 09:47 次阅读 稿源:cnBeta.COM 条评论

针对 Chrome、Edge 以及其他基于 Chromium 的浏览器,一位安全研究人员在 Twitter 上分享了一个概念验证(PoC)漏洞。虽然这个零日漏洞已经被公开披露,但在最新版的 Chrome 和 Edge 中并未被修复。

EyyU-VVU4AQZhPb.jpg

安全研究人员 Rajvardhan Agarwal 在基于 Chromium 浏览器中的 V8 JavaScript 引擎中发现了一个远程代码执行漏洞,并通过个人 Twitter 帐号进行了公布。虽然该漏洞已经在最新版本的 V8 JavaScript 引擎中得到修复,但谷歌何时将其添加到 Chrome 浏览器中仍不清楚。

在 Agarwal 提供的概念验证演示中,需要配合另一个漏洞来逃脱 Chromium 沙盒。为了测试该漏洞,BleepingComputer 在启用 -no-sandbox 标志的情况下同时启动了 Chrome 和 Edge,并能够使用该漏洞在 Windows 10 上运行计算器(代表成功入侵)。

虽然在 Twitter 上发布零日漏洞本身是有争议的,但社交网络上的一些用户对 Agarwal 的行为表示质疑,因为该漏洞最初是由来自 Dataflow Security 的 Bruno Keith 和 Niklas Baumstark 发现的,而在泄漏时并未提及他们的功劳。不过,Agarwal 表示他发现该漏洞的时候并不知道对方已经发现了这个漏洞。

更新:在最新的 Chrome 版本中已经修复了这个问题,不过他爆料在 V8 引擎中还有一个漏洞并未得到修复,不过他决定不再公开该漏洞。

QQ截图20210414094454.jpg

对文章打分

安全专家发现基于Chromium的浏览器漏洞 可绕过沙盒远程执行

1 (50%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan