一位安全研究人员在推特上发布了一个远程代码执行零日漏洞,该漏洞适用于当前版本的GoogleChrome和MicrosoftEdge。安全研究员RajvardhanAgarwal发布了一个有效的概念验证(PoC),针对基于Chromium的浏览器中V8JavaScript引擎中的远程代码执行漏洞。Agarwal成功利用此漏洞在浏览器加载PoCHTML文件及其对应的JavaScript文件时启动Windows计算器程序。虽然Agarwal表示该错误已在最新版本的V8JavaScript引擎中得到修复,但尚不清楚GoogleChrome何时会推出此修复程序。但是,该漏洞无法逃脱浏览器的沙箱(浏览器的安全边界,防止远程代码执行漏洞在主机上启动程序)。利用此漏洞需要同时利用另一个漏洞,使该漏洞能够逃脱浏览器沙箱。此外,该漏洞被认为与DataflowSecurity的BrunoKeith和NiklasBaumstark在Pwn2Own2021上在GoogleChrome和MicrosoftEdge中使用的漏洞相同。Chrome90即将发布,其中可能包含针对此零日漏洞的修复程序。本文转自OSCHINA文章标题:Chrome和Edge浏览器被曝远程代码执行漏洞本文地址:https://www.oschina.net/news/137332/chromium-based-browser-rce
