Исследователь опубликовал код для эксплуатации незакрытой уязвимости в Google Chrome

На ресурсе GitHub вчера опубликован в открытом доступе демонстрационный код (так называемый proof-of-concept – POC) для эксплуатации уязвимости браузера Google Chrome. Сделал это не анонимный хакер, а исследователь компании Exodus Иштван Курукшаи, к тому же сопроводивший публикацию видеороликом, в котором продемонстрировано осуществление атаки. Уязвимость затрагивает JavaScript-движок браузера V8 и позволяет исполнить произвольный код.

Коллизия состоит в том, что данная уязвимость была исправлена разработчиками Google еще 18 марта, но обновление до сих пор не реализовано в стабильной версии браузера v73 – при том, что число ее пользователей оценивается примерно в 1 миллиард человек. Задержка связана с неповоротливостью цепочки подготовки и реализации обновлений Google Chrome. Уже готовые обновления требуют интеграции в проект Chromium и базу кодов Chrome, после чего проходят тестирование на версиях браузера Chrome Canary и Chrome Beta и лишь после этого добавляются в стабильную версию. По словам Иштвана Курукшаи, это создает хакерам «окно возможностей» протяженностью от нескольких дней до нескольких недель. В течение этого периода времени киберпреступники вполне могут совершать атаки, эксплуатируя уже исправленные уязвимости только из-за того, что обновления безопасности не выходят вовремя. Своей публикацией исследователь решил привлечь внимание к этой проблеме.

Курукшаи также позаботился о том, чтобы его POC-код нельзя было использовать в реальных атаках: он не содержит возможности выхода из «песочницы» - закрытой безопасной среды, в которой осуществляется запуск подозрительных кодов. Однако хакеры все же могут взять опубликованный код на вооружение, соединив его с публиковавшимися ранее инструментами для обхода «песочницы».

Источник: ZDNet