安全動(dòng)態(tài)

相愛相殺:微軟披露谷歌Chrome存在遠(yuǎn)程代碼執(zhí)行漏洞

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-10-22    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf

1.jpg

微軟進(jìn)攻安全研究(OSR)團(tuán)隊(duì)公布了谷歌的Chrome瀏覽器漏洞CVE-2017-5121,該漏洞最初可導(dǎo)致信息泄露,然后可進(jìn)一步利用實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

微軟和谷歌的安全團(tuán)隊(duì)一直以“友好競(jìng)爭(zhēng)”的關(guān)系互相曝料對(duì)方的產(chǎn)品漏洞,谷歌的秘密安全團(tuán)隊(duì)“Project Zero”陸續(xù)發(fā)布了微軟的IE、Edge、Windows Defender及操作系統(tǒng)漏洞。

此次,微軟披露其進(jìn)攻安全研究(OSR)團(tuán)隊(duì)在Chrome瀏覽器中發(fā)現(xiàn)的遠(yuǎn)程代碼執(zhí)行漏洞的細(xì)節(jié)。微軟OSR研究員Jordan Rabet使用ExprGen工具測(cè)試Chrome的V8開源JavaScript引擎,開始他們發(fā)現(xiàn)了信息泄露漏洞,之后通過(guò)渲染進(jìn)程繞過(guò)單源策略(SOP)便可執(zhí)行任意代碼。這意味著攻擊者可從任何網(wǎng)站竊取保存的密碼,通過(guò)通用跨站點(diǎn)腳本(UXSS)將任意的JavaScript注入到網(wǎng)頁(yè)中,然后悄悄地指向任意網(wǎng)站。

該漏洞編號(hào)為CVE-2017-5121,微軟的研究人員通過(guò)谷歌的漏洞賞金計(jì)劃獲得了15837美元的獎(jiǎng)金,他們計(jì)劃將該獎(jiǎng)金捐獻(xiàn)給慈善機(jī)構(gòu)。

谷歌在上個(gè)月修補(bǔ)了該漏洞,并發(fā)布了Chrome61。但是微軟指出此次發(fā)布的補(bǔ)丁是基于開源的瀏覽器項(xiàng)目Chromium,修補(bǔ)的源代碼會(huì)在公布給用戶之前發(fā)布到GitHub,這可能讓攻擊者有機(jī)會(huì)利用漏洞來(lái)攻擊不受保護(hù)的用戶。

 
 

上一篇:物聯(lián)網(wǎng)時(shí)代黑客入侵無(wú)處不在 如何預(yù)防入侵

下一篇:2017年10月22日 聚銘安全速遞