Mereka menemukan kerentanan zero-day yang memengaruhi versi terbaru browser yang didukung Chromium

Microsoft dan Google berkolaborasi dalam pengembangan Chromium. Pekerjaan yang memiliki kelebihan, seperti yang kita lihat tempo hari ketika berbicara tentang solusi untuk bug yang memengaruhi YouTube di Windows 10, tetapi juga masalah sesekali. Ini adalah kasus ancaman zero-day yang memengaruhi kedua browser

Risiko yang dapat memengaruhi Edge dan Chrome dan sebenarnya berfungsi di versi terbaru kedua browser. Ancaman yang ditemukan oleh peneliti keamanan yang dapat memungkinkan eksekusi kode jarak jauh dan dengan demikian meluncurkan aplikasi atau program apa pun tanpa aktivasi pengguna.

Untuk browser berbasis Chromium

Peneliti Rajvardhan Agarwal @r4j0x00 di Twitter telah menemukan dan memperbaiki kerentanan di Edge dan Chrome yang dapat memfasilitasi eksekusi kode jarak jauh. Bug yang berfungsi di versi Google Chrome dan Microsoft Edge saat ini

Ini adalah kerentanan eksekusi kode jarak jauh untuk mesin JavaScript V8 di browser berbasis Chromium yang, meskipun telah diperbaiki di versi terbaru mesin JavaScript V8, belum diterapkan di kedua browser.

Bug berfungsi saat PoC HTML dan file JavaScript terkait dimuat di browser berbasis Chromium. Peneliti telah menggunakan kerentanan untuk memulai program kalkulator Windows, tetapi dapat mempermudah memuat program apa pun

Hal positifnya adalah bug ini sulit dijalankan, karena terbatas pada mode kotak pasir Chromium yang mengisolasi proses dari istirahat sehingga penyerang tidak dapat mengakses sisa aplikasi dan fungsi sistem. Untuk memungkinkannya, perlu menggunakan perintah bendera dan perintah –no-sandbox untuk menonaktifkan mode kotak pasir.

Diharapkan bahwa pembaruan baru dari kedua browser sudah memiliki versi baru, sudah diperbaiki, dari mesin rendering Chromium JavaScript V8, dengan Chrome 90 dirilis besok, mana saja yang diperbaiki terlebih dahulu.

Via | Komputer Bleeping