信息來源:FreeBuf
微軟進攻安全研究(OSR)團隊公布了谷歌的Chrome瀏覽器漏洞CVE-2017-5121,該漏洞最初可導致信息泄露����,然后可進一步利用實現遠程代碼執(zhí)行。
微軟和谷歌的安全團隊一直以“友好競爭”的關系互相曝料對方的產品漏洞�����,谷歌的秘密安全團隊“Project Zero”陸續(xù)發(fā)布了微軟的IE�、Edge、Windows Defender及操作系統漏洞����。
此次,微軟披露其進攻安全研究(OSR)團隊在Chrome瀏覽器中發(fā)現的遠程代碼執(zhí)行漏洞的細節(jié)。微軟OSR研究員Jordan Rabet使用ExprGen工具測試Chrome的V8開源JavaScript引擎����,開始他們發(fā)現了信息泄露漏洞,之后通過渲染進程繞過單源策略(SOP)便可執(zhí)行任意代碼��。這意味著攻擊者可從任何網站竊取保存的密碼��,通過通用跨站點腳本(UXSS)將任意的JavaScript注入到網頁中�,然后悄悄地指向任意網站。
該漏洞編號為CVE-2017-5121����,微軟的研究人員通過谷歌的漏洞賞金計劃獲得了15837美元的獎金,他們計劃將該獎金捐獻給慈善機構���。
谷歌在上個月修補了該漏洞��,并發(fā)布了Chrome61�。但是微軟指出此次發(fā)布的補丁是基于開源的瀏覽器項目Chromium����,修補的源代碼會在公布給用戶之前發(fā)布到GitHub,這可能讓攻擊者有機會利用漏洞來攻擊不受保護的用戶���。
