Google оставит RCE-уязвимость в старых версиях браузера Chrome

уязвимость

Во всех версиях браузера Chrome, кроме последней, существует уязвимость, позволяющая удалённо выполнять код. Она была найдена исследователем, пожелавшим остаться анонимным, и передана в Google через компанию Beyond Security. В ответ инженеры Google заявили, что не планируют её устранять, так как для последней версии браузера опасности нет.

Proof-of-concept выложили в сеть

В среду, 16 августа, Beyond Security выложила в открытый доступ всю информацию о проблеме, включая рабочую версию кода, демонстрирующего эксплойт. Уязвимость является частью компонента Turbofan, который ускоряет выполнение кода на JavaScript. Злоумышленнику необходимо заманить пользователя на свой сайт, после чего он может получить доступ к cookies, паролям и другой информации, которая есть непосредственно в браузере.

Советуем обновиться до Chrome 60

Доля рынка браузера от Google составляет примерно 59%, при этом последняя версия установлена лишь у половины пользователей. Таким образом, под угрозой оказывается огромное количество устройств. Кроме того, пока неясно, присутствует ли эта уязвимость в других браузерах на базе Chromium.

Источник: Bleeping Computer