viernes, 16 de abril de 2021

Vulnerabilidad Zero-Day que permite RCE en los navegadores Chrome, Edge, Brave y Opera

Zero-Day en Chromium que permite RCE

      Se ha hecho pública esta semana una vulnerabilidad que afecta a los navegadores basados en Chromium, esta vulnerabilidad afecta el navegador independientemente del sistema operativa donde se encuentre instalado siempre y cuando no esté actualizado a la última versión de Chromium.

La vulnerabilidad que permite una ejecución remota de código (RCE) ha sido publicada por el investigador indio Rajvardhan Agarwal, aunque es un exploit que estaba circulando desde hace tiempo por foros y grupos privados. En este caso el exploit afecta al motor de renderizado de JavaScript V8 de Chromium, por lo tanto, afecta a todos aquellos navegadores que se basen en Chromium entre los cuales se encuentra Chrome o Microsoft Edge.

Está misma vulnerabilidad se demostró su funcionamiento en el concurso de hacking Pwn2Own 2021 la semana pasada, siendo presentada por Bruno Keith y Niklas Baumstark de Dataflow Security los cuales como recompensa por la demostración se llevaron un premio de 100.000 dólares.

Tras ejecutar el exploit se produce la ejecución de la calculadora de Windows. Para realizar este exploit es necesario un mecanismo que permita escapar la sandbox.

La vulnerabilidad ya ha sido solucionada en la última actualización lanzada, Chromium 89.0.4389.128.


No hay comentarios:

Publicar un comentario