Пожелавший остаться неизвестным независимый исследователь обнаружил опасный баг в браузере Chrome и обратился за помощью к специалистам компании Beyond Security, которая представляет интересы ИБ-специалистов в таких ситуациях в рамках программы SecuriTeam Secure Disclosure. Сотрудники Beyond Security связались с инженерами Google и сообщили о проблеме, однако согласно баг-репорту, представители Google ответили, что не планируют устранять опасную RCE-уязвимость, так как она не представляет опасности для новейших версий браузера (Chrome 60).

После этого исследователи из Beyond Security с чистой совестью смогли опубликовать информацию о проблеме на своем сайте, а также обнародовать proof-of-concept версию эксплоита. Специалисты объясняют, что уязвимость была обнаружена в компоненте Turbofan, который используется для оптимизации JavaScript-кода. Эксплуатация проблемы подразумевает, что пользователя нужно заманить на подконтрольный злоумышленнику сайт, на котором размещается вредоносный JavaScript. Успешная атака ведет к выполнению произвольного кода в Chrome.

Стоит сказать, что в настоящее время Google Chrome принадлежит около 59% всего рынка браузеров. Но согласно данным аналитической фирмы Clicky, «свежий» Chrome 60  установлен лишь у половины пользователей, и установок Chrome 59 по-прежнему насчитывается очень много. Также из отчета Beyond Security не совсем ясно, как обстоят дела у Chromium и других браузеров, которые тоже используют V8 Turbofan в работе.



3 комментария

  1. Skybad

    18.08.2017 at 09:21

    А сделать принудительное обновление они не могут?

  2. Mr-r00t

    18.08.2017 at 10:48

    /Skybad/
    А им это надо ?

    • john_

      20.08.2017 at 21:16

      Как бы надо. Корпорация добра следит за всем. В том числе за обновлением своих продуктов.
      Другое Дело, например, что во многих компаниях до сих пор используют XPюшу…. а на ней ничего уже давно не обновляется. Но какая-то версия хрома там работает…

Оставить мнение