Vulnerabilidad 1-Day en Chrome
Exodus Intelligence ha publicado una vulnerabilidad y una PoC que permite ejecución de código en Chrome, para el cual aún no existe parche disponible. El fallo se encuentra en V8, el motor JavaScript. Pero el descubrimiento es matizable en dos vertientes:
Se ha publicado también un video al respecto.
Fuente: Exodusintel
- El fallo está resuelto en la siguiente versión no estable. Lo ha descubierto indagando en el sistema de código abierto. De hecho, divulga el fallo para poner de manifiesto que los atacantes que vigilen el modelo de actualización de Chrome (que debe pasar por ramas de Chromium) pueden tener acceso a los parches de seguridad corregidos y, por tanto, conocer cómo atacar. Todo el proceso de testeo, integración y despliegue de actualización, supone una ventana de tiempo en la que un atacante podría arremeter contra la versión estable que usa la inmensa mayoría de los usuarios, todavía a al espera del parche en producción.
- La prueba de concepto publicada consigue ejecución de código, pero no puede escapar de la sandbox, con lo que su impacto es mínimo. En combinación con algún fallo de escapada, sí podría resultar dañina.
Fuente: Exodusintel
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!