Эксперты по кибербезопасности выложили в Twitter публикацию, в которой сказано об уязвимости нулевого дня (0-day) в текущих версиях Google Chrome и Microsoft Edge. Данная брешь позволит атакующим выполнить код удаленно.
Ражвардхан Агарвал создал рабочий PoC-эксплойт, использующий уязвимость в JavaScript-движке V8, так как именно им оснащены браузеры на Chromium.
PoC – HTML- и JavaScript-файлы, которые запускают приложение «Калькулятор» в ОС Windows, если их загрузить в уязвимый браузер. Но в нынешней реализации эксплойт не может обогнуть песочницу браузера.
Следовательно, когда киберпреступники пожелают использовать находку Агарвала, им будет необходимо связать данную брешь с другой уязвимостью, которая позволит «выбраться» из песочницы интернет-обозревателей.
Эксперты также добавили, что в последних версиях V8 уязвимость устранена, но неизвестно, когда Google планирует обновлять движок в Chrome.