به گزارش خبرنگار حوزه دریچه فناوری گروه فضای مجازی باشگاه خبرنگاران جوان، یک محقق امنیتی، سواستفاده از اثبات مفهوم (PoC) را برای آسیب پذیری روز صفر در گوگل کروم، مایکروسافت اج و دیگر مرورگر‌های مبتنی بر کرومیوم در توییتر منتشر کرده است. در حالی که آسیب پذیری روز صفر قبلاً به صورت عمومی فاش شده، اما هنوز در آخرین نسخه کروم یا اج اصلاح نشده است.

این محقق امنیتی بهره برداری PoC را برای یک آسیب پذیری اجرای کد از راه دور برای موتور V۸ JavaScript موجود در مرورگر‌های مبتنی بر کرومیوم ایجاد کرد و آن را در قالب یک توییت منتشر کرد. اگرچه این آسیب پذیری در آخرین نسخه موتور V۸ جاوا اسکریپت برطرف شده است، اما هنوز مشخص نیست که گوگل چه زمانی آن را به کروم اضافه می‌کند.

فایل PoC HTML ایجاد شده توسط Agarwal و پرونده جاوا اسکریپت مربوطه، می‌تواند برای راه اندازی برنامه ماشین حساب در ویندوز ۱۰ هنگام بارگیری در یک مرورگر مبتنی بر کرومیوم استفاده شود. با این حال، بهره برداری محدود به اجرا در sandbox مرورگر است که از راه اندازی برنامه‌های آسیب پذیر در اجرای کد از راه دور جلوگیری می‌کند.

بهره برداری از روز صفر

برای اینکه بهره برداری کارساز باشد، باید به آسیب پذیری دیگری متصل شود که بتواند به آن اجازه دهد از sandbox کرومیوم خارج شود. برای آزمایش بکارگیری، یک شرکت خبری فناوری، هر دو مرورگر کروم و اج را با پرچم no-sandbox فعال کرد و از آنجا توانست از این سواستفاده برای راه اندازی ماشین حساب در سیستم عامل ویندوز ۱۰ استفاده کند.

این کمپین هک اولین بار در تاریخ ۲ مارس توسط مایکروسافت اطلاع رسانی شد و یک گروه هک تحت حمایت یکی از کشورهای آسیایی را مقصر دانست.

بیشتر بخوانید

• حمله سایبری ۱۰ گروه از هکر‌ها به ۱۱۵ کشور جهان

انتهای پیام/