22 июля 2019 г. 10:45 | Новостной канал: Основной канал
 260
 

Уязвимость в Chrome позволяет удаленное выполнения кода независимо от прав доступа

 
 

Разработчик блокировщика рекламы µBlock для Firefox программист Реймонд Хилл (Raymond Hill) в своем аккаунте в Twitter описал метод, позволяющий удаленное выполнение кода в любом дополнении для Chrome. Выполнение удаленного JavaScript-кода возможно даже без предоставления дополнению расширенных прав.

Уязвимость позволяет выполнить код не только входящий в локальную поставку, но и обойти настройку ограничения unsafe-eval и выполнить в контексте дополнения любой JavaScript-код, загруженный с внешнего сайта, пишет OpenNET.

Компания Google закрыла публичный доступ к отчету о возникнувшей проблеме. Сохранившийся пример кода можно посмотреть в архиве.

Напомним, корпорация Google объявила о троекратном увеличении размера максимальных сумм, выплачиваемых в рамках программы вознаграждения за найденные уязвимости в браузере Chrome и его компонентах. В частности, «максимальная базовая сумма вознаграждения» за уязвимость в Chrome увеличена с $5 тыс. до $15 тыс., максимально возможная сумма награды - $30 тыс.

Источник

Лаборатория Цифровой Форензики