安全研究人员今天发布了一个未修补的Google Chrome漏洞的概念验证代码。
该安全漏洞已在Chrome的JavaScript引擎V8中修复,但该修复尚未达到浏览器的稳定版本(v73),该版本已被估计超过十亿用户使用。
CHROME的补丁延迟问题
该漏洞利用代码由Exodus Intelligence的安全研究员IstvánKurucsai组合在一起,并与演示视频(请参见上文)一起今天在GitHub上发布。
研究人员之所以发布此概念验证漏洞利用代码,是为了突出Google补丁程序中的一个明显漏洞,这使攻击者可以在较短的时间间隔内开发Chrome漏洞并向用户发起攻击。
差距来自Chrome的IT供应链,涉及从不同的开源项目中导入和测试代码。
在这种情况下,Google工程师于3月18日修复了V8安全问题,该问题后来在V8项目的变更日志和源代码中公开,但尚未达到Chrome稳定版。
该补丁目前正在Chrome装配线中运行,涉及先集成到Chromium开源浏览器项目中,然后再集成到Chrome代码库中,然后在Chrome Canary和Chrome Beta版本中进行测试,然后以最终形式进入稳定版补丁
“由于采用了开源开发模型,因此安全修复程序在源代码树中立即可见,但是它们需要时间在Chrome的不稳定发行版中进行测试,然后才能通过自动更新机制发布作为向大多数用户群稳定发布的一部分,”库鲁赛(Kurucsai)今天在一份报告中表示,他在出埃及情报网站(Exodus Intelligence)上发布了该报告。
他补充说:“实际上,从几天到几周的时间里,攻击者有一个机会之窗,其中的漏洞详细信息实际上是公开的,但大多数用户很容易受到攻击,无法获得补丁。”
POC代码不完整
显然,Kurucsai今天发布的漏洞是一个远程执行代码错误,使攻击者可以在用户系统上运行代码。但是,该漏洞利用程序的当前形式在某种程度上是无害的,因为它没有沙盒逃逸漏洞,可以成为完整的漏洞利用链,并且能够在底层操作系统上运行代码。
尽管如此,攻击者仍可以将较旧的Chrome沙盒逃逸漏洞与Kurucsai当前的RCE错误一起使用,以攻击运行未修补Chrome浏览器的用户(较早的沙盒逃逸漏洞更容易受到攻击)。
该代码的用例将作为恶意活动或水坑攻击的一部分。