Исследователь под ником frust опубликовал в Twitter проверочный код (Proof-of-Concept – PoC) для эксплуатации уязвимости нулевого дня, выявленной им в браузере Google Chrome. Точнее говоря, уязвимость коренится в браузере с открытым исходным кодом Chromium, на базе которого работает не только Google Chrome, но и Microsoft Edge, а также ряд других браузеров. Уязвимости нулевого дня чрезвычайно опасны, поскольку их описание становится доступным раньше, чем разработчик успевает выпустить исправление ПО, ликвидирующее проблему.
В данном случае ситуация усугубляется еще и тем, что это уже вторая уязвимость нулевого дня, обнаруженная в Chromium за текущую неделю: описание первой было опубликовано также в Twitter буквально двумя днями ранее. По счастью, обе уязвимости сами по себе не могут выйти за пределы «песочницы» - изолированной среды Chromium, предотвращающей возможность исполнения произвольного кода за пределами браузера. Таким образом, использование уязвимостей в реальных атаках возможно лишь в случае, если пользователь по каким-то причинам отключил режим песочницы в своем браузере. Второй вариант – атака с использованием цепочки уязвимостей, одна из которых позволила бы вредоносному коду выйти за пределы песочницы. Но информации о существовании подобных цепочек в настоящее время нет. Тем не менее, обнаружение этих уязвимостей уже внесло серьезные коррективы в планы корпорации Google. Ранее она предполагала выпустить во вторник, 13 апреля, новую версию своего браузера Chrome 90 для настольных компьютеров. Вместо этого в экстренном порядке была выпущена версия Chrome 89.0.4389.128, устраняющая первую из уязвимостей недели. Вполне вероятно, что выявление второй уязвимости вновь отодвинет выпуск новой версии Chrome.
Источник: Bleeping Computer
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-2969 info@tcinet.ru
+7 495 730-2970
