【国际资讯】震惊!谷歌不打算修复Chrome中的RCE漏洞(PoC代码已公开)

阅读量159097

|评论1

|

发布时间 : 2017-08-17 18:45:32

x
译文声明

本文是翻译文章,文章来源:bleepingcomputer.com

原文地址:https://www.bleepingcomputer.com/news/security/rce-vulnerability-affecting-older-versions-of-chrome-will-remain-unpatched/

译文仅供参考,具体内容表达以及含义原文为准。

http://p7.qhimg.com/t01261ef2a3b8a1aada.jpg

翻译:360代码卫士

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿


Chrome 60之前的所有老版本均受一个远程代码执行漏洞的影响。一位匿名研究人员通过Beyongd Security的SecuriTeam安全披露计划将问题告知谷歌。

谷歌回应称并不计划解决这个问题,因为它并不会影响当前版本Chrome 60,而这个版本是谷歌安全团队唯一愿意投入精力的版本。


PoC代码已发布

鉴于谷歌无修复打算,Beyongd Security昨天公开了可复现该漏洞的PoC代码。简言之,该漏洞出现在Chrome用于优化JavaScript代码的Turbofan组件中。要利用这个漏洞就要求引诱用户访问受攻击者控制的网站并让攻击者在用户浏览器中执行恶意JavaScript代码。

虽然这个漏洞披露并未提及沙箱逃逸使攻击者在PC级别执行代码,但该漏洞能让攻击者通过浏览器(如cookies、密码等)窃取可访问数据。


约10%的互联网用户仍受影响

PoC代码的公开会在未来引发问题,因为它可成为技术欺诈、广告软件和恶意Chrome扩展开发人员的免费弹药库。

谷歌Chrome的总体市场份额约为59%,而Chrome 60的市场份额是50%。它说明10%的互联网用户易受漏洞影响。目前尚不知晓这个问题是否也影响Chromium项目以及包括V8 Turbofan优化器的其它浏览器,因此受影响用户的数量可能更庞大。

更新至最新的Chrome 60版本可缓解该漏洞。

本文翻译自bleepingcomputer.com 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
奇安信代码卫士
分享到:微信

发表评论

奇安信代码卫士

奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。微信公号:codesafe。

  • 文章
  • 387
  • 粉丝
  • 104

热门推荐

文章目录
内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66