Chrome 和 Edge 浏览器被曝存在远程代码执行漏洞

安全 漏洞
一位安全研究人员在 Twitter 上发布了一个远程代码执行的零日漏洞,该漏洞可在当前版本的 Google Chrome 和 Microsoft Edge 上运行。

[[393032]]

一位安全研究人员在 Twitter 上发布了一个远程代码执行的零日漏洞,该漏洞可在当前版本的 Google Chrome 和 Microsoft Edge 上运行。

安全研究员 Rajvardhan Agarwal 针对基于 Chromium 的浏览器中 V8 JavaScript 引擎的远程代码执行漏洞发布了一个有效的概念验证(PoC)。当浏览器加载 PoC HTML 文件及其相应的 JavaScript 文件时,Agarwal 成功利用此漏洞启动 Windows 计算器程序。虽然 Agarwal 表示,该漏洞已在最新版本的 V8 JavaScript 引擎中得到修复,但目前还不清楚 Google Chrome 何时会推出相关修复版本。

不过,该漏洞无法逃脱浏览器的沙盒(浏览器的安全边界,可防止远程代码执行漏洞在主机上启动程序)。如果要利用该漏洞,还需要同时利用另一个可使该漏洞逃离浏览器沙盒的漏洞。此外,该漏洞被认为是 Dataflow Security 的 Bruno Keith 和 Niklas Baumstark 在 Pwn2Own 2021 上使用的同一个漏洞,当时使用的浏览器是 Google Chrome 和 Microsoft Edge。

 

Chrome 90 即将发布,该版本或许会包含针对该零日漏洞的修复程序。

本文转自OSCHINA

本文标题:Chrome 和 Edge 浏览器被曝存在远程代码执行漏洞

本文地址:https://www.oschina.net/news/137332/chromium-based-browser-rce

责任编辑:未丽燕 来源: 开源中国
相关推荐

2021-04-14 21:40:49

谷歌Chrome浏览器

2021-04-13 16:40:18

0Day漏洞远程代码

2009-12-16 10:04:51

Chrome浏览器漏洞

2022-08-15 08:28:52

漏洞底层框架Electron

2016-03-15 21:12:44

2015-04-30 08:11:40

2009-07-07 09:37:04

2023-12-14 16:20:09

2021-06-21 06:00:28

微软Windows 10Windows

2015-08-04 11:00:53

2009-11-16 09:33:57

2014-09-12 17:47:36

2020-06-19 14:55:14

信息泄漏恶意软件攻击

2015-10-08 11:13:18

Chrome Edge浏览器

2022-02-17 16:03:10

Chrome安全漏洞浏览器

2020-12-11 15:19:56

ChromeEdge浏览器

2022-01-17 12:46:05

API漏洞应用程序安全

2021-06-05 07:51:11

ChromeSafariFirefox

2021-12-06 11:49:11

Microsoft ChromeEdge

2017-04-06 16:21:48

浏览器chrome微软
点赞
收藏

51CTO技术栈公众号