Пожелавший остаться неизвестным независимый исследователь обнаружил опасный баг в браузере Chrome и обратился за помощью к специалистам компании Beyond Security, которая представляет интересы ИБ-специалистов в таких ситуациях в рамках программы SecuriTeam Secure Disclosure. Сотрудники Beyond Security связались с инженерами Google и сообщили о проблеме, однако согласно баг-репорту, представители Google ответили, что не планируют устранять опасную RCE-уязвимость, так как она не представляет опасности для новейших версий браузера (Chrome 60).
После этого исследователи из Beyond Security с чистой совестью смогли опубликовать информацию о проблеме на своем сайте, а также обнародовать proof-of-concept версию эксплоита. Специалисты объясняют, что уязвимость была обнаружена в компоненте Turbofan, который используется для оптимизации JavaScript-кода. Эксплуатация проблемы подразумевает, что пользователя нужно заманить на подконтрольный злоумышленнику сайт, на котором размещается вредоносный JavaScript. Успешная атака ведет к выполнению произвольного кода в Chrome.
Стоит сказать, что в настоящее время Google Chrome принадлежит около 59% всего рынка браузеров. Но согласно данным аналитической фирмы Clicky, «свежий» Chrome 60 установлен лишь у половины пользователей, и установок Chrome 59 по-прежнему насчитывается очень много. Также из отчета Beyond Security не совсем ясно, как обстоят дела у Chromium и других браузеров, которые тоже используют V8 Turbofan в работе.
Skybad
18.08.2017 в 09:21
А сделать принудительное обновление они не могут?
Mr-r00t
18.08.2017 в 10:48
/Skybad/
А им это надо ?
john_
20.08.2017 в 21:16
Как бы надо. Корпорация добра следит за всем. В том числе за обновлением своих продуктов.
Другое Дело, например, что во многих компаниях до сих пор используют XPюшу…. а на ней ничего уже давно не обновляется. Но какая-то версия хрома там работает…