نفوذپذیری دو مرورگر کروم و اج در مقابل آسیب پذیری روز صفر

آسیب پذیری روز صفر بر تمام مرورگر‌های مبتنی بر کرومیوم تأثیر می‌گذارد و این نقص امنیتی کروم و مایکروسافت اج را تحت تأثیر قرار داده است.

به گزارش خبرنگار حوزه دریچه فناوری گروه فضای مجازی باشگاه خبرنگاران جوان، یک محقق امنیتی، سواستفاده از اثبات مفهوم (PoC) را برای آسیب پذیری روز صفر در گوگل کروم، مایکروسافت اج و دیگر مرورگر‌های مبتنی بر کرومیوم در توییتر منتشر کرده است. در حالی که آسیب پذیری روز صفر قبلاً به صورت عمومی فاش شده، اما هنوز در آخرین نسخه کروم یا اج اصلاح نشده است.

این محقق امنیتی بهره برداری PoC را برای یک آسیب پذیری اجرای کد از راه دور برای موتور V۸ JavaScript موجود در مرورگر‌های مبتنی بر کرومیوم ایجاد کرد و آن را در قالب یک توییت منتشر کرد. اگرچه این آسیب پذیری در آخرین نسخه موتور V۸ جاوا اسکریپت برطرف شده است، اما هنوز مشخص نیست که گوگل چه زمانی آن را به کروم اضافه می‌کند.

فایل PoC HTML ایجاد شده توسط Agarwal و پرونده جاوا اسکریپت مربوطه، می‌تواند برای راه اندازی برنامه ماشین حساب در ویندوز ۱۰ هنگام بارگیری در یک مرورگر مبتنی بر کرومیوم استفاده شود. با این حال، بهره برداری محدود به اجرا در sandbox مرورگر است که از راه اندازی برنامه‌های آسیب پذیر در اجرای کد از راه دور جلوگیری می‌کند.

آسیب پذیری روز صفر

بهره برداری از روز صفر

برای اینکه بهره برداری کارساز باشد، باید به آسیب پذیری دیگری متصل شود که بتواند به آن اجازه دهد از sandbox کرومیوم خارج شود. برای آزمایش بکارگیری، یک شرکت خبری فناوری، هر دو مرورگر کروم و اج را با پرچم no-sandbox فعال کرد و از آنجا توانست از این سواستفاده برای راه اندازی ماشین حساب در سیستم عامل ویندوز ۱۰ استفاده کند.

این کمپین هک اولین بار در تاریخ ۲ مارس توسط مایکروسافت اطلاع رسانی شد و یک گروه هک تحت حمایت یکی از کشورهای آسیایی را مقصر دانست.


بیشتر بخوانید


انتهای پیام/

پیام رسان های باشگاه خبرنگاران - پایین شرح خبر
مطالب پیشنهادی وب
اخبار پیشنهادی
تبادل نظر
نام:
ایمیل:
آدرس ایمیل خود را با فرمت مناسب وارد نمایید.
* نظر:
پیام رسان های باشگاه خبرنگاران - پایین شرح خبر
پیام رسان های باشگاه خبرنگاران - پایین شرح خبر
آخرین اخبار
پیام رسان های باشگاه خبرنگاران - پایین شرح خبر
پیام رسان های باشگاه خبرنگاران - پایین شرح خبر