Een security-onderzoeker publiceerde vandaag proof-of-concept code voor een niet-gepatchte Google Chrome kwetsbaarheid.
Het lek is verholpen in de V8 JavaScript-engine van Chrome, maar de oplossing nog niet heeft bereikt, de browser stabiele versie –v73-de versie die gebruikt wordt door naar schatting meer dan een miljard gebruikers.
Chrome patch vertraging probleem
De exploit code is samengesteld door István Kurucsai, een security-onderzoeker voor Exodus Intelligentie, en vandaag vrijgegeven op GitHub, samen met een demo video (zie hierboven).
De reden waarom de onderzoeker publiceerde deze proof-of-concept exploit code was om een opvallende gat in Google patchen proces, dat zorgt voor een kleine interval van de tijd gedurende welke aanvallers kunnen ontwikkelen Chrome uitbuitingen en aanvallen op gebruikers.
Deze kloof komt van Chrome HET supply chain, waarbij het importeren en het testen van code van andere open source projecten.
In dit geval, Google-ingenieurs vast een V8 beveiligingsprobleem op Maart 18, die later openbaar worden in de V8-project-changelog en de broncode, maar had nog niet het bereiken van de Stabiele versie van Chrome.
Deze patch is momenteel reist de Chrome-assemblage lijn, waarbij wordt geïntegreerd in het Chroom open-source browser project, en vervolgens worden geïntegreerd in de Chrome-browser, en vervolgens getest in Chrome Canary en Chrome Beta-releases voor het bereiken van de laatste Stabiele tak in de vorm van een patch.
“Als gevolg van de open-source-ontwikkeling model, terwijl de beveiligings correcties worden onmiddellijk zichtbaar in de broncode, ze hebben tijd nodig om te worden getest op de niet-stabiele release kanalen van Chrome voordat ze kunnen worden geduwd via de auto-update mechanisme als onderdeel van een stabiele versie voor de meeste van de user-base” Kurucsai zei vandaag in een rapport publiceerde hij op de Exodus Intelligence-website.
“In feite is er een window of opportunity voor aanvallers, variërend van een paar dagen tot weken waarin de kwetsbaarheid details zijn bijna niet openbaar, maar de meeste van de gebruikers zijn kwetsbaar en niet in staat om een patch,” voegde hij eraan toe.
PoC code is niet compleet
Om duidelijk te zijn, het te exploiteren dat Kurucsai vandaag is een uitvoering van externe code bug dat zou een aanvaller code uitvoeren op het systeem van een gebruiker. Echter, de exploit is enigszins onschuldig in zijn huidige vorm, als het ontbreekt aan een sandbox te ontsnappen kwetsbaarheid om een volledig benutten keten, en in staat zijn om code uit te voeren op het onderliggende besturingssysteem.
Toch aanvallers kunnen gebruik maken van oudere Chrome-sandbox te ontsnappen gebreken samen met de Kurucsai de huidige RCE bug aanval gebruikers draait niet gecorrigeerde Chrome-browsers (kwetsbare oudere sandbox ontsnapt bugs).
Het gebruik van deze code zou worden als onderdeel van malvertising campagnes of drinkplaats-aanvallen.
Meer browser dekking:
Zal Windows de 10 gebruikers massaal naar Chroom Rand voor exclusieve 4K Netflix streaming?
Microsoft brengt de Toepassing Guard extensie voor Chrome en Firefox
Eerste afbeelding oppervlakken van Google Chrome komende Tabblad Groepen featureFormer Mozilla CTO aangehouden bij de AMERIKAANSE grens, en geweigerd een lawyerFirefox uitvoeren experiment te verminderen push notificatie toestemming spamGoogle correcties Chrome ‘kwaad cursor’ bug misbruikt door de technische support van zwendel sitesWhat ondernemingen moet weten over het nieuwe Chroom-gebaseerd Rand TechRepublicGoogle de meest secure login systeem werkt nu op Firefox en Rand, ook CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters