Chrome 60之前的所有老版本均受一个远程代码执行漏洞的影响。一位匿名研究人员通过Beyongd Security的SecuriTeam安全披露计划告诉谷歌这个问题。
谷歌回答说,它不打算解决这个问题,因...
Chrome 60之前的所有老版本均受一个远程代码执行漏洞的影响。一位匿名研究人员通过Beyongd Security的SecuriTeam安全披露计划告诉谷歌这个问题。
谷歌回答说,它不打算解决这个问题,因为它不会影响当前版本的Chrome 60,这是唯一愿意投资的Google安全团队版本。
PoC代码已发布
鉴于谷歌未修改的计划,Beyongd Security昨天披露了
可复现该漏洞的PoC代码。简而言之,此漏洞出现在Chrome用于优化JavaScript代码的Turbofan组件中。
要利用这个漏洞就要求引诱用户访问受攻击者控制的网站并让攻击者在用户浏览器中执行恶意JavaScript代码。
虽然此漏洞披露未提及沙箱转义允许攻击者在PC级别执行代码,但该漏洞允许攻击者通过浏览器窃取可访问数据,如cookie,密码等。
约10%的互联网用户仍受影响
PoC代码的披露可能会在未来引发问题,因为它可能成为技术欺诈,广告软件和恶意Chrome扩展开发人员的免费弹药库。
谷歌Chrome的整体市场份额约为59%,而Chrome 60的市场份额为50%。它表明,10%的互联网用户容易受到漏洞的攻击。目前尚不清楚这个问题是否也影响了Chromium项目和其他浏览器,包括V8 Turbofan优化器,因此受影响的用户数量可能更大。
更新到最新的Chrome 60版本以缓解此漏洞。
本文由乘客安全翻译,作者:Code 360卫士
原文链接:https://www.bleepingcomputer.com/news/security/rce-vulnerability-affecting-older-versions-of-chrome-will-remain-unpatched/
黑客业务列表介绍和一般分类:
类别:攻击入侵破解开发
1:攻击业务订单:暂时取消所有此类业务订单[仅销售常规IDC流量]
2:入侵业务清单:包括网站源代码,办公系统,黑色系统,教育系统等。
3:破解业务类:软件,加密文件,二次打包,脱壳等。
4:二次开发业务清单:软件二次开发,源代码二次开发等
5:其他业务订单:特洛伊木马[通过所有防病毒],远程控制,特殊软件等
备注:未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间,请在咨询前阅读:业务交易流程及相关说明
注意:仅接受正式业务,个人无权接受。收集此内容。