5 abr. 2019

Vulnerabilidad 1-Day en Chrome

Exodus Intelligence ha publicado una vulnerabilidad y una PoC que permite ejecución de código en Chrome, para el cual aún no existe parche disponible. El fallo se encuentra en V8, el motor JavaScript. Pero el descubrimiento es matizable en dos vertientes:
  • El fallo está resuelto en la siguiente versión no estable. Lo ha descubierto indagando en el sistema de código abierto. De hecho, divulga el fallo para poner de manifiesto que los atacantes que vigilen el modelo de actualización de Chrome (que debe pasar por ramas de Chromium) pueden tener acceso a los parches de seguridad corregidos y, por tanto, conocer cómo atacar. Todo el proceso de testeo, integración y despliegue de actualización, supone una ventana de tiempo en la que un atacante podría arremeter contra la versión estable que usa la inmensa mayoría de los usuarios, todavía a al espera del parche en producción.
  • La prueba de concepto publicada consigue ejecución de código, pero no puede escapar de la sandbox, con lo que su impacto es mínimo. En combinación con algún fallo de escapada, sí podría resultar dañina.
Se ha publicado también un video al respecto.

Fuente: Exodusintel

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!