一个影响所有Chromium浏览器的漏洞,在Google还来不及发布更新版本前,遭研究人员公开开采程序。目前Google仅紧急发布更新版的Android版Chrome。
这个漏洞是由另二名安全研究人员Bruno Keith (@bkth_与Niklas Baumstark (@_niklasb)在PwnOwn黑客大赛中发现并通报,两人因此项发现获得10万美元。漏洞一经发现需交给Chrome安全团队制作修补程序,因此并未对外公开。
不过研究人员Rajvardhan Agarwal本周稍早在推特上贴文,显示本漏洞发生在Chromium JavaScript v8引擎。Agarwal昨天贴出GitHub下载网页连接,公布针对该漏洞的开采程序。
虽然Chromium团队已经在上周发布修补v8的漏洞,但是该修补程序当时并未集成到以Chromium为核心的浏览器,因此包括Chrome、Edge、Brave、Opera等仍然处于曝险状态。
Agarwal贴出的概念验证攻击程序包含一个HTML档及JavaScript档,可让攻击者在用户计算机操作系统上执行程序,包括恶意程序代码,不过仅能算一半的攻击程序,不致于立即造成危害,因为攻击者还需另外突破Chromium浏览器如Chrome的沙箱。
但是Agarwal对The Record指出,若黑客攻击的服务执行的是未启动沙箱防护的Chromium,该漏洞就相当危险。
昨日Google紧急发布Android版Chrome 90 (90.0. 4430.66)版本,但其他平台版本则要再几周,才会在Google Play Store上架。