menu
menu
logo
Исследователь опубликовал код для эксплуатации незакрытой уязвимости в Google Chrome

Исследователь опубликовал код для эксплуатации незакрытой уязвимости в Google Chrome

На ресурсе GitHub вчера опубликован в открытом доступе демонстрационный код (так называемый proof-of-concept – POC) для эксплуатации уязвимости браузера Google Chrome. Сделал это не анонимный хакер, а исследователь компании Exodus Иштван Курукшаи, к тому же сопроводивший публикацию видеороликом, в котором продемонстрировано осуществление атаки. Уязвимость затрагивает JavaScript-движок браузера V8 и позволяет исполнить произвольный код.

Коллизия состоит в том, что данная уязвимость была исправлена разработчиками Google еще 18 марта, но обновление до сих пор не реализовано в стабильной версии браузера v73 – при том, что число ее пользователей оценивается примерно в 1 миллиард человек. Задержка связана с неповоротливостью цепочки подготовки и реализации обновлений Google Chrome. Уже готовые обновления требуют интеграции в проект Chromium и базу кодов Chrome, после чего проходят тестирование на версиях браузера Chrome Canary и Chrome Beta и лишь после этого добавляются в стабильную версию. По словам Иштвана Курукшаи, это создает хакерам «окно возможностей» протяженностью от нескольких дней до нескольких недель. В течение этого периода времени киберпреступники вполне могут совершать атаки, эксплуатируя уже исправленные уязвимости только из-за того, что обновления безопасности не выходят вовремя. Своей публикацией исследователь решил привлечь внимание к этой проблеме.

Курукшаи также позаботился о том, чтобы его POC-код нельзя было использовать в реальных атаках: он не содержит возможности выхода из «песочницы» - закрытой безопасной среды, в которой осуществляется запуск подозрительных кодов. Однако хакеры все же могут взять опубликованный код на вооружение, соединив его с публиковавшимися ранее инструментами для обхода «песочницы».

Источник: ZDNet

RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
RIGF 2025: Обсуждение ключевых вопросов управления интернетом в России
В Москве завершил свою работу 15-й Российский форум по управлению Интернетом
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Продажа домена Zip.ai возглавила новый выпуск рейтинга крупнейших доменных сделок
Ресурс DN Journal обновил свой рейтинг
ТЦИ поздравляет с Днем рождения российского Интернета!
ТЦИ поздравляет с Днем рождения российского Интернета!
Сегодня мы отмечаем знаменательную дату — 31 год с момента регистрации первого домена в зоне .RU
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
ТЦИ рассказал о новых технологиях и стандартах своего Центра сертификации, приняв участие в конференции АДЭ
C 2 по 3 апреля в Москве состоялась XXIII ежегодная конференция Ассоциации документальной электросвязи (АДЭ) на тему «Обеспечение доверия и безопасности при использовании ИКТ». В мероприятии приняли участие представители ТЦИ.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-2969
info@tcinet.ru

Клиентская служба

+7 495 730-2970

vk-img ВКонтакте