微软进攻安全研究(OSR)团队公布了谷歌的Chrome浏览器漏洞CVE-2017-5121,该漏洞最初可导致信息泄露,然后可进一步利用实现远程代码执行。
微软和谷歌的安全团队一直以“友好竞争”的关系互相曝料对方的产品漏洞,谷歌的秘密安全团队“Project Zero”陆续发布了微软的IE、Edge、Windows Defender及操作系统漏洞。
此次,微软披露其进攻安全研究(OSR)团队在Chrome浏览器中发现的远程代码执行漏洞的细节。微软OSR研究员Jordan Rabet使用ExprGen工具测试Chrome的V8开源JavaScript引擎,开始他们发现了信息泄露漏洞,之后通过渲染进程绕过单源策略(SOP)便可执行任意代码。这意味着攻击者可从任何网站窃取保存的密码,通过通用跨站点脚本(UXSS)将任意的JavaScript注入到网页中,然后悄悄地指向任意网站。
该漏洞编号为CVE-2017-5121,微软的研究人员通过谷歌的漏洞赏金计划获得了15837美元的奖金,他们计划将该奖金捐献给慈善机构。
谷歌在上个月修补了该漏洞,并发布了Chrome61。但是微软指出此次发布的补丁是基于开源的浏览器项目Chromium,修补的源代码会在公布给用户之前发布到GitHub,这可能让攻击者有机会利用漏洞来攻击不受保护的用户。
相关资讯
最新热门应用
智慧笑联app官网最新版
生活实用41.45MB
下载盯链app安卓最新版
生活实用50.17M
下载学有优教app家长版
办公学习38.83M
下载九号出行app官网最新版
旅行交通28.8M
下载货拉拉司机版app最新版
生活实用145.22M
下载全自动抢红包神器2024最新版本安卓app
系统工具4.39M
下载扫描王全能宝官网最新版
办公学习238.17M
下载海信爱家app最新版本
生活实用235.33M
下载航旅纵横手机版
旅行交通138.2M
下载双开助手多开分身安卓版
系统工具18.11M
下载