連日來研究人員公布了谷歌Chrome漏洞向來一不斷的有小伙伴關(guān)注，不僅如此還衍生出了各大相關(guān)話題，那么跟著小編來看看研究人員公布了谷歌Chrome漏洞以及它的相關(guān)資訊吧！

一位安全研究員今天公布了一個(gè)未修補(bǔ)的谷歌Chrome漏洞的概念驗(yàn)證代碼。

Chrome的JavaScript引擎V8已經(jīng)修復(fù)了這個(gè)安全漏洞，但這個(gè)漏洞還沒有擴(kuò)展到掃瞄器的穩(wěn)定版本——v73，估量有超過10億用戶使用這個(gè)版本。

這個(gè)漏洞代碼是由Exodus Intelligence的安全研究員Istvan Kurucsai編寫的，并于今天在GitHub上公布，同時(shí)公布的還有一個(gè)演示視頻(見上圖)。

研究人員之所以公布這個(gè)概念驗(yàn)證的漏洞代碼，是為了強(qiáng)調(diào)谷歌的修補(bǔ)過程中一個(gè)明顯的漏洞，在這個(gè)漏洞中，攻擊者可以在一小段時(shí)間內(nèi)開辟Chrome漏洞，并對(duì)用戶發(fā)起攻擊。

這個(gè)缺口來自于Chrome的IT供應(yīng)鏈，它涉及到從不同的開源項(xiàng)目導(dǎo)入和測試代碼。

在這個(gè)例子中，谷歌的工程師在3月18日修復(fù)了一個(gè)V8的安全問題，這個(gè)問題后來在V8項(xiàng)目的更新日志和源代碼中被公開，但是還沒有達(dá)到Chrome的穩(wěn)定版本。

該補(bǔ)丁目前正在Chrome裝配線上運(yùn)行，包括集成到Chrome開源掃瞄器項(xiàng)目中，然后集成到Chrome代碼庫中，然后在Chrome金絲雀和Chrome Beta版本中進(jìn)行測試，最后以補(bǔ)丁的形式到達(dá)穩(wěn)定的分支。

”由于其開源開辟模式,而安全補(bǔ)丁是立即可見的源代碼樹,他們需要時(shí)間來考驗(yàn)的無機(jī)窩前公布Chrome渠道可以通過自動(dòng)升級(jí)推出機(jī)制作為穩(wěn)定版本的一部分,大部分的用戶基礎(chǔ),“Kurucsai今天表示他在《出埃及記》的情報(bào)網(wǎng)站上公布的一份報(bào)告中。

他補(bǔ)充說:“實(shí)際上，攻擊者有一個(gè)從幾天到幾周的機(jī)會(huì)窗口，在這個(gè)窗口中，漏洞細(xì)節(jié)實(shí)際上是公開的，但大多數(shù)用戶都是脆弱的，無法獲得補(bǔ)丁?！?/p>

需要說明的是，Kurucsai今天公布的漏洞是一個(gè)遠(yuǎn)程代碼執(zhí)行錯(cuò)誤，攻擊者可以在用戶的系統(tǒng)上運(yùn)行代碼。但是，這種攻擊在當(dāng)前的形式下是無害的，因?yàn)樗鼪]有沙箱轉(zhuǎn)義漏洞來形成完整的攻擊鏈，并且不能在底層操作系統(tǒng)上運(yùn)行代碼。

盡管如此，攻擊者可以使用舊的Chrome沙箱轉(zhuǎn)義漏洞和Kurucsai當(dāng)前的RCE漏洞來攻擊運(yùn)行未打補(bǔ)丁的Chrome掃瞄器的用戶(容易受到舊的沙箱轉(zhuǎn)義漏洞的攻擊)。

此代碼的用例將作為惡意宣傳活動(dòng)或酒吧攻擊的一部分。