時間:2017-10-22 來源:互聯網 瀏覽量:
微軟進攻安全研究(OSR)團隊公布了穀歌的Chrome瀏覽器漏洞CVE-2017-5121,該漏洞最初可導致信息泄露,然後可進一步利用實現遠程代碼執行。
微軟和穀歌的安全團隊一直以“友好競爭”的關係互相曝料對方的產品漏洞,穀歌的秘密安全團隊“Project Zero”陸續發布了微軟的IE、Edge、Windows Defender及操作係統漏洞。
此次,微軟披露其進攻安全研究(OSR)團隊在Chrome瀏覽器中發現的遠程代碼執行漏洞的細節。微軟OSR研究員Jordan Rabet使用ExprGen工具測試Chrome的V8開源JavaScript引擎,開始他們發現了信息泄露漏洞,之後通過渲染進程繞過單源策略(SOP)便可執行任意代碼。這意味著攻擊者可從任何網站竊取保存的密碼,通過通用跨站點腳本(UXSS)將任意的JavaScript注入到網頁中,然後悄悄地指向任意網站。
該漏洞編號為CVE-2017-5121,微軟的研究人員通過穀歌的漏洞賞金計劃獲得了15837美元的獎金,他們計劃將該獎金捐獻給慈善機構。
穀歌在上個月修補了該漏洞,並發布了Chrome61。但是微軟指出此次發布的補丁是基於開源的瀏覽器項目Chromium,修補的源代碼會在公布給用戶之前發布到GitHub,這可能讓攻擊者有機會利用漏洞來攻擊不受保護的用戶。
