close
安全研究人員 Rajvardhan Agarwal 在基於 Chromium 瀏覽器中的 V8 JavaScript 引擎中發現瞭一個遠程代碼執行漏洞,並通過個人 Twitter 帳號進行瞭公佈。雖然該漏洞已經在最新版本的 V8 JavaScript 引擎中得到修復,但谷歌何時將其添加到 Chrome 瀏覽器中仍不清楚。
在 Agarwal 提供的概念驗證演示中,需要配合另一個漏洞來逃脫 Chromium 沙盒。為瞭測試該漏洞,BleepingComputer 在啟用 -no-sandbox 標志的情況下同時啟動瞭 Chrome 和 Edge,並能夠使用該漏洞在 Windows 10 上運行計算器(代表成功入侵)。
雖然在 Twitter 上發佈零日漏洞本身是有爭議的,但社交網絡上的一些用戶對 Agarwal 的行為表示質疑,因為該漏洞最初是由來自 Dataflow Security 的 Bruno Keith 和 Niklas Baumstark 發現的,而在泄漏時並未提及他們的功勞。不過,Agarwal 表示他發現該漏洞的時候並不知道對方已經發現瞭這個漏洞。
更新:在最新的 Chrome 版本中已經修復瞭這個問題,不過他爆料在 V8 引擎中還有一個漏洞並未得到修復,不過他決定不再公開該漏洞。
全站熱搜
留言列表
