نفوذپذیری دو مرورگر کروم و اج در مقابل آسیب پذیری روز صفر
به گزارش سهندبلاگ، آسیب پذیری روز صفر بر تمام مرورگر های مبتنی بر کرومیوم تأثیر می گذارد و این نقص امنیتی کروم و مایکروسافت اج را تحت تأثیر قرار داده است.
به گزارش خبرنگار ، یک محقق امنیتی، سواستفاده از اثبات مفهوم (PoC) را برای آسیب پذیری روز صفر در گوگل کروم، مایکروسافت اج و دیگر مرورگر های مبتنی بر کرومیوم در توییتر منتشر نموده است. در حالی که آسیب پذیری روز صفر قبلاً به صورت عمومی فاش شده، اما هنوز در آخرین نسخه کروم یا اج اصلاح نشده است.
این محقق امنیتی بهره برداری PoC را برای یک آسیب پذیری اجرای کد از راه دور برای موتور V8 JavaScript موجود در مرورگر های مبتنی بر کرومیوم ایجاد کرد و آن را در قالب یک توییت منتشر کرد. اگرچه این آسیب پذیری در آخرین نسخه موتور V8 جاوا اسکریپت رفع شده است، اما هنوز معین نیست که گوگل چه زمانی آن را به کروم اضافه می نماید.
فایل PoC HTML ایجاد شده توسط Agarwal و پرونده جاوا اسکریپت مربوطه، می تواند برای راه اندازی برنامه ماشین حساب در ویندوز 10 هنگام بارگیری در یک مرورگر مبتنی بر کرومیوم استفاده گردد. با این حال، بهره برداری محدود به اجرا در sandbox مرورگر است که از راه اندازی برنامه های آسیب پذیر در اجرای کد از راه دور جلوگیری می نماید.
برای اینکه بهره برداری کارساز باشد، باید به آسیب پذیری دیگری متصل گردد که بتواند به آن اجازه دهد از sandbox کرومیوم خارج گردد. برای آزمایش بکارگیری، یک شرکت خبری فناوری، هر دو مرورگر کروم و اج را با پرچم no-sandbox فعال کرد و از آنجا توانست از این سواستفاده برای راه اندازی ماشین حساب در سیستم عامل ویندوز 10 استفاده کند.
این کمپین هک اولین بار در تاریخ 2 مارس توسط مایکروسافت اطلاع رسانی شد و یک گروه هک تحت حمایت یکی از کشورهای آسیایی را مقصر دانست.
منبع: باشگاه خبرنگاران جوانabanhome.com: گروه ساختمانی آبان: بازسازی ساختمان و تعمیرات جزئی و کلی و طراحی ویلا و فضای سبز و روف گاردن، طراحی الاچیق، فروش درب های ضد سرقت را از ما بخواهید.
hodablog.ir: هدا بلاگ | انجمن گفتگوی سیستم مدیریت محتوای هدا بلاگ