Obtenez l'ultime pack de sécurité NordVPN à -63% !

Cette faille de sécurité affecte à la fois Google Chrome et Microsoft Edge

Cette faille de sécurité affecte à la fois Google Chrome et Microsoft Edge

Un chercheur en sécurité a publié un exploit de preuve de concept (PoC) sur Twitter pour une vulnérabilité zero-day récemment découverte dans Google Chrome, Microsoft Edge et d’autres navigateurs basés sur Chromium.

Bien que cette vulnérabilité zero-day ait déjà été divulguée publiquement, elle n’a pas encore été corrigée dans la dernière version de Chrome ou Edge.

Le chercheur en sécurité Rajvardhan Agarwal a créé l’exploit PoC pour une vulnérabilité d’exécution de code à distance pour le moteur JavaScript V8 trouvé dans les navigateurs basés sur Chromium et l’a publié dans un tweet. Bien que la vulnérabilité ait été corrigée dans la dernière version du moteur JavaScript V8, on ne sait toujours pas quand Google l’ajoutera à Chrome.

Le fichier HTML PoC créé par Agarwal et son fichier JavaScript correspondant peuvent être utilisés pour lancer l’application de calculatrice sur Windows 10 lorsqu’il est chargé dans un navigateur basé sur Chromium. Cependant, l’exploit se limite à s’exécuter dans le bac à sable du navigateur, ce qui empêche les vulnérabilités d’exécution de code à distance de lancer des programmes sur un ordinateur hôte.

Exploit du jour zéro

Exploit du jour zéro

Pour que l’exploit d’Agarwal fonctionne, il doit être enchaîné à une autre vulnérabilité qui pourrait lui permettre de sortir du bac à sable Chromium. Sur le même sujet : Comment faire pour charger son iPhone sans chargeur ? Pour tester l’exploit, BleepingComputer a lancé Chrome et Edge avec l’indicateur –no-sandbox activé et à partir de là, le média a pu utiliser l’exploit pour lancer la calculatrice sur un système exécutant Windows 10.

Bien que la publication d’un exploit zero-day sur Twitter soit controversée en soi, certains utilisateurs du réseau social ont contesté le fait qu’Agarwal n’ait pas crédité Bruno Keith et Niklas Baumstark de Dataflow Security qui ont découvert la vulnérabilité. Cependant, Agarwal affirme qu’il ne savait pas qu’ils avaient découvert la vulnérabilité lors de la publication de son exploit.

On s’attend à ce que Google publie bientôt Chrome 90 sur le canal Stable et nous devrons attendre de voir si la prochaine version de son navigateur inclut un correctif pour cette vulnérabilité d’exécution de code à distance.

Recherches populaires

Confidentialite - Conditions generales - Contact - Publicites - Plan du site - Sitemap