产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
微软进攻安全研究(osr)团队公布了谷歌的chrome浏览器漏洞cve-2017-5121,该漏洞最初可导致信息泄露,然后可进一步利用实现远程代码执行。
微软和谷歌的安全团队一直以“友好竞争”的关系互相曝料对方的产品漏洞,谷歌的秘密安全团队“project zero”陆续发布了微软的ie、edge、windows defender及操作系统漏洞。
此次,微软披露其进攻安全研究(osr)团队在chrome浏览器中发现的远程代码执行漏洞的细节。微软osr研究员jordan rabet使用exprgen工具测试chrome的v8开源javascript引擎,开始他们发现了信息泄露漏洞,之后通过渲染进程绕过单源策略(sop)便可执行任意代码。这意味着攻击者可从任何网站窃取保存的密码,通过通用跨站点脚本(uxss)将任意的javascript注入到网页中,然后悄悄地指向任意网站。
该漏洞编号为cve-2017-5121,微软的研究人员通过谷歌的漏洞赏金计划获得了15837美元的奖金,他们计划将该奖金捐献给慈善机构。
谷歌在上个月修补了该漏洞,并发布了chrome61。但是微软指出此次发布的补丁是基于开源的浏览器项目chromium,修补的源代码会在公布给用户之前发布到github,这可能让攻击者有机会利用漏洞来攻击不受保护的用户。
*参考来源::securityweek bleepingcomputer ,转载请注明来自freebuf.com
试用申请
