係統粉 > IT資訊 > 微軟資訊

相愛相殺: 微軟披露穀歌Chrome存在遠程代碼執行漏洞

發布時間:2017-10-22    瀏覽數:

相愛相殺: 微軟披露穀歌Chrome存在遠程代碼執行漏洞(1)

微軟進攻安全研究(OSR)團隊公布了穀歌的Chrome瀏覽器漏洞CVE-2017-5121,該漏洞最初可導致信息泄露,然後可進一步利用實現遠程代碼執行。

微軟和穀歌的安全團隊一直以“友好競爭”的關係互相曝料對方的產品漏洞,穀歌的秘密安全團隊“Project Zero”陸續發布了微軟的IE、Edge、Windows Defender及操作係統漏洞。

此次,微軟披露其進攻安全研究(OSR)團隊在Chrome瀏覽器中發現的遠程代碼執行漏洞的細節。微軟OSR研究員Jordan Rabet使用ExprGen工具測試Chrome的V8開源JavaScript引擎,開始他們發現了信息泄露漏洞,之後通過渲染進程繞過單源策略(SOP)便可執行任意代碼。這意味著攻擊者可從任何網站竊取保存的密碼,通過通用跨站點腳本(UXSS)將任意的JavaScript注入到網頁中,然後悄悄地指向任意網站。

該漏洞編號為CVE-2017-5121,微軟的研究人員通過穀歌的漏洞賞金計劃獲得了15837美元的獎金,他們計劃將該獎金捐獻給慈善機構。

穀歌在上個月修補了該漏洞,並發布了Chrome61。但是微軟指出此次發布的補丁是基於開源的瀏覽器項目Chromium,修補的源代碼會在公布給用戶之前發布到GitHub,這可能讓攻擊者有機會利用漏洞來攻擊不受保護的用戶。

上一篇:微軟大賣情懷: 諾基亞Lumia520T重新上市, 定位百元機 你願意買單嗎? 下一篇:微軟高管暗示 Xbox One X將有一個新的開機畫麵

相關資訊

最新熱門應用

電腦問答