Zero-day sebezhetőséget találtak a Chrome-ban

 

Frissítve 2021.04.15.: Elérhetővé vált a Google Chrome 90-es verziója, amelyben összesen 37 sebezhetőség ─ köztük a korábban jelzett nulladik napi hiba ─ került javításra, emellett az új verzióban további biztonsági megoldások is bevezetésre kerültek.

Egy biztonsági kutató távoli kódfuttatást (Remote Code Execution – RCE) lehetővé tévő zero-day sebezhetőségről posztolt kihasználási bizonyítást (proof of concept – PoC) a Twitteren. A sérülékenység Chromium-alapú böngészők V8 JavaScript motorját érinti, és a Google Chrome és a Microsoft Edge aktuális verziói (előbbi esetében a 89.0.4389.114, utóbbinál a 89.0.774.76) is sérülékenyek. Megjegyzendő ugyanakkor, hogy a biztonsági rés önmagában nem tesz lehetővé kódfuttatást, ahhoz ugyanis szükség van egy másik sebezhetőség kihasználására is, a Chromium sandbox környezetéből való kilépéshez. A Google várhatóan a napokban adja ki a Chrome 90-es verzióját, azonban kérdés, hogy ebben már javításra kerül-e a nulladik napi sérülékenység.

(bleepingcomputer.com)