此安全漏洞会影响谷歌Chrome和MicrosoftEdge

一位安全研究人员已在Twitter上发布了概念验证(PoC)漏洞，用于最近发现的Google Chrome，Microsoft Edge和其他基于Chromium的浏览器中的零日漏洞。尽管此零日漏洞已公开披露，但尚未在最新版本的Chrome或Edge中进行修补。

安全研究员Rajvardhan Agarwal为基于Chromium的浏览器中的V8 JavaScript引擎创建了一个远程代码执行漏洞的PoC漏洞，并在推文中发布了该漏洞。尽管该漏洞已在最新版本的V8 JavaScript引擎中修复，但仍不清楚Google何时将其添加到Chrome。

由Agarwal创建的PoC HTML文件及其相应的JavaScript文件可在基于Chromium的浏览器中加载后，用于在Windows 10上启动计算器应用程序。但是，此漏洞只限于在浏览器的沙箱中运行，这样可以防止远程执行代码漏洞在主机上启动程序。

为了使Agarwal的攻击发挥作用，需要将其链接到另一个漏洞，该漏洞可能使它脱离Chromium沙箱。为了测试该漏洞利用，BleepingComputer在启用了–no-sandbox标志的情况下启动了Chrome和Edge，从那里，新闻媒体就可以使用漏洞利用在运行Windows 10的系统上启动计算器。

尽管在Twitter上发布零日攻击本身是有争议的，但社交网络上的一些用户还是对Agarwal没有信任首先发现该漏洞的Dataflow Security的Bruno Keith和Niklas Baumstark表示怀疑。但是，Agarwal声称他不知道他们在发布漏洞利用程序时发现了该漏洞。

预计Google会很快将Chrome 90发布到Stable频道，我们将不得不拭目以待，即将发布的浏览器版本是否包含针对此远程代码执行漏洞的修复程序。

标签： 谷歌Chrome