Ils découvrent une vulnérabilité zero-day qui affecte les versions les plus récentes des navigateurs alimentés par Chromium
Table des matières:
Microsoft et Google collaborent étroitement au développement de Chromium. Un travail qui a ses avantages, comme nous l'avons vu l'autre jour en parlant de la solution au bug qui affectait YouTube dans Windows 10, mais aussi le problème occasionnel. C'est le cas d'une menace zero-day qui affecte les deux navigateurs
Un risque qui peut affecter à la fois Edge et Chrome et qui est en fait fonctionnel dans les dernières versions des deux navigateurs. Une menace découverte par un chercheur en sécurité qui peut autoriser l'exécution de code à distance et ainsi lancer n'importe quelle application ou programme sans activation de l'utilisateur.
Pour les navigateurs basés sur Chromium
Le chercheur Rajvardhan Agarwal @r4j0x00 sur Twitter a découvert et corrigé une vulnérabilité dans Edge et Chrome qui pourrait faciliter l'exécution de code à distance. Un bogue fonctionnel dans la version actuelle de Google Chrome et Microsoft Edge
Il s'agit d'une vulnérabilité d'exécution de code à distance pour le moteur JavaScript V8 dans les navigateurs basés sur Chromium qui, bien que est corrigée dans la dernière version du moteur JavaScript V8, n'a pas encore été implémenté dans les deux navigateurs.
Le bogue fonctionne lorsqu'un PoC HTML et le fichier JavaScript correspondant sont chargés dans un navigateur basé sur Chromium. Le chercheur a utilisé la vulnérabilité pour démarrer le programme de calculatrice Windows, mais peut faciliter le chargement de n'importe quel programme
La partie positive est que ce bogue est difficile à exécuter, car il est limité au mode bac à sable de Chromium qui isole le processus du reste afin qu'un attaquant ne puisse pas accéder au reste des applications et des fonctions du système. Pour rendre cela possible, il est nécessaire d'utiliser la commande flags et la commande –no-sandbox pour désactiver le mode sandbox.
Il faut espérer que les nouvelles mises à jour des deux navigateurs ont déjà la nouvelle version, déjà corrigée, du moteur de rendu Chromium JavaScript V8, avec Chrome 90 publié demain, selon la première solution.
Via | Ordinateur qui bipe
