Um investigador de segurança revelou ter descoberto uma vulnerabilidade zero-day sobre o Google Chrome e Microsoft Edge, sendo que o mais grave será devido ao facto de esta falha ter sido partilhada publicamente no Twitter.
O investigador de segurança Rajvardhan Agarwal partilhou no Twitter uma prova de conceito sobre a falha, que basicamente permite a execução remota de código explorando o motor de Javascript V8 do Chromium. Esta vulnerabilidade permite, basicamente, que sites maliciosos possam executar conteúdos nos sistemas dos utilizadores ou código de forma remota.
A falha afeta todos os navegadores que sejam baseados no Chromium e não tenham ainda sido atualizados para a versão mais recente do mesmo, e aqui inclui-se o Google Chrome e Microsoft Edge, entre outros.
Para provar a existência da falha, o programador criou um pequeno ficheiro HTML que, quando aberto, inicia a calculadora do Windows. Teoricamente, esta falha pode ser explorada para abrir ou executar qualquer género de código no navegador e no sistema que o aceda.
No entanto, é importante notar que esta falha não consegue contornar o sistema de segurança sandbox que existe no Chromium, e que foi criado exatamente para prevenir a execução remota de código malicioso. Para explorar a falha, os atacantes necessitam de conjugar a mesma com outro género de código que permita escapar da sandbox do navegador.
De notar que a Google deve lançar a nova versão do Chrome 90 brevemente, mas ainda se desconhece se a mesma vai contar com a correção implementada para esta falha ou se a mesma será integrada apenas em versões futuras.
Nenhum comentário
Seja o primeiro!