Google Chrome’dagi yamoqlanmagan zaiflik uchun konsepsiya isboti chop etildi.
Zaiflik hujumga uchragan tizimda ixtiyoriy kodni masofadan turib bajarish imkonini beradi.
Payshanba, 4-aprel kuni Exodus Intelligence xavfsizlik tadqiqotchisi Istvan Kurucsai Google Chrome’dagi yamoqlanmagan zaiflik uchun konsepsiya isboti eksploiti va demo videoni e’lon qildi. Zaiflik tajovuzkorga jabrlanuvchining tizimida masofadan turib ixtiyoriy kodni bajarish imkonini beradi. Muammo allaqachon V8 (brauzerning JavaScript dvigateli) da hal qilingan, ammo yamoq hali 1 milliarddan ortiq qurilmalarda ishlatiladigan Chrome 73 ning barqaror versiyasiga qo‘shilmagan. Tadqiqotchi yamoqlash jarayonidagi kamchiliklarni namoyish qilish uchun zaiflik yamoqlanishidan oldin konsepsiya isboti eksploiti haqida nashr etishga qaror qildi. Kurucsai’ning so‘zlariga ko‘ra, Google yamoqlar ustida ishlayotgan bir paytda, tajovuzkorlar hali ham eksploitlar yaratmoqda va foydalanuvchilarga hujum qilmoqda.
Yamoqning kechikishi Chrome ta’minot zanjiri bilan bog’liq bo’lib, u turli manbalardan kodni import qilish va sinovdan o’tkazishni o’z ichiga oladi. V8 zaifligi holatida, 18-mart kuni tuzatish tayyor bo’ldi, shundan so’ng u loyihaning o’zgarishlar jurnalida va V8 manba kodida mavjud bo’ldi. Biroq, yamoq hali brauzerning o’ziga qo’shilmagan.
Yangilanish hozirda barcha bosqichlarda, jumladan, Chromium loyihasi bilan integratsiya, Chrome kod bazasi bilan integratsiya va Chrome Canary va Chrome Beta-da sinovdan o’tkazilmoqda. Shundan keyingina yamoq brauzerning barqaror versiyasiga qo’shiladi. Bu hujumchilarga bir necha kundan bir necha haftagacha vaqt beradi, bu vaqt davomida zaiflik tafsilotlari allaqachon ma’lum, ammo Chrome-ning barqaror versiyasi hali yangilanishni olmagan.
Tadqiqotchi tomonidan nashr etilgan PoC ekspluatatsiyasi hozirgi ko’rinishida nisbatan zararsizdir. Kurucai kodni bajarish uchun zarur bo’lgan sinov muhitini chetlab o’tish imkoniyatini ataylab qo’ldan boy berdi. Biroq, tajovuzkorlar undan maqsadli tizimda kodni bajarish uchun eski sinov muhitini chetlab o’tish zaifliklari bilan birgalikda foydalanishlari mumkin edi.
