信息來源:FreeBuf
微軟進攻安全研究(OSR)團隊公布了谷歌的Chrome瀏覽器漏洞CVE-2017-5121,該漏洞最初可導(dǎo)致信息泄露���,然后可進一步利用實現(xiàn)遠程代碼執(zhí)行。
微軟和谷歌的安全團隊一直以“友好競爭”的關(guān)系互相曝料對方的產(chǎn)品漏洞,谷歌的秘密安全團隊“Project Zero”陸續(xù)發(fā)布了微軟的IE��、Edge���、Windows Defender及操作系統(tǒng)漏洞。
此次���,微軟披露其進攻安全研究(OSR)團隊在Chrome瀏覽器中發(fā)現(xiàn)的遠程代碼執(zhí)行漏洞的細節(jié)�����。微軟OSR研究員Jordan Rabet使用ExprGen工具測試Chrome的V8開源JavaScript引擎���,開始他們發(fā)現(xiàn)了信息泄露漏洞����,之后通過渲染進程繞過單源策略(SOP)便可執(zhí)行任意代碼���。這意味著攻擊者可從任何網(wǎng)站竊取保存的密碼�����,通過通用跨站點腳本(UXSS)將任意的JavaScript注入到網(wǎng)頁中���,然后悄悄地指向任意網(wǎng)站。
該漏洞編號為CVE-2017-5121�,微軟的研究人員通過谷歌的漏洞賞金計劃獲得了15837美元的獎金,他們計劃將該獎金捐獻給慈善機構(gòu)���。
谷歌在上個月修補了該漏洞���,并發(fā)布了Chrome61����。但是微軟指出此次發(fā)布的補丁是基于開源的瀏覽器項目Chromium��,修補的源代碼會在公布給用戶之前發(fā)布到GitHub���,這可能讓攻擊者有機會利用漏洞來攻擊不受保護的用戶��。
