当前位置:安全行业动态 → 正文

相爱相杀:微软披露谷歌Chrome存在远程代码执行漏洞

责任编辑:editor005 作者:JingleCats |来源:企业网D1Net  2017-10-22 20:03:03 本文摘自:黑客与极客

微软进攻安全研究(OSR)团队公布了谷歌的Chrome浏览器漏洞CVE-2017-5121,该漏洞最初可导致信息泄露,然后可进一步利用实现远程代码执行。

微软和谷歌的安全团队一直以“友好竞争”的关系互相曝料对方的产品漏洞,谷歌的秘密安全团队“Project Zero”陆续发布了微软的IE、Edge、Windows Defender及操作系统漏洞。

此次,微软披露其进攻安全研究(OSR)团队在Chrome浏览器中发现的远程代码执行漏洞的细节。微软OSR研究员Jordan Rabet使用ExprGen工具测试Chrome的V8开源JavaScript引擎,开始他们发现了信息泄露漏洞,之后通过渲染进程绕过单源策略(SOP)便可执行任意代码。这意味着攻击者可从任何网站窃取保存的密码,通过通用跨站点脚本(UXSS)将任意的JavaScript注入到网页中,然后悄悄地指向任意网站。

该漏洞编号为CVE-2017-5121,微软的研究人员通过谷歌的漏洞赏金计划获得了15837美元的奖金,他们计划将该奖金捐献给慈善机构。

谷歌在上个月修补了该漏洞,并发布了Chrome61。但是微软指出此次发布的补丁是基于开源的浏览器项目Chromium,修补的源代码会在公布给用户之前发布到GitHub,这可能让攻击者有机会利用漏洞来攻击不受保护的用户。

关键字:谷歌微软

本文摘自:黑客与极客

x 相爱相杀:微软披露谷歌Chrome存在远程代码执行漏洞 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

相爱相杀:微软披露谷歌Chrome存在远程代码执行漏洞

责任编辑:editor005 作者:JingleCats |来源:企业网D1Net  2017-10-22 20:03:03 本文摘自:黑客与极客

微软进攻安全研究(OSR)团队公布了谷歌的Chrome浏览器漏洞CVE-2017-5121,该漏洞最初可导致信息泄露,然后可进一步利用实现远程代码执行。

微软和谷歌的安全团队一直以“友好竞争”的关系互相曝料对方的产品漏洞,谷歌的秘密安全团队“Project Zero”陆续发布了微软的IE、Edge、Windows Defender及操作系统漏洞。

此次,微软披露其进攻安全研究(OSR)团队在Chrome浏览器中发现的远程代码执行漏洞的细节。微软OSR研究员Jordan Rabet使用ExprGen工具测试Chrome的V8开源JavaScript引擎,开始他们发现了信息泄露漏洞,之后通过渲染进程绕过单源策略(SOP)便可执行任意代码。这意味着攻击者可从任何网站窃取保存的密码,通过通用跨站点脚本(UXSS)将任意的JavaScript注入到网页中,然后悄悄地指向任意网站。

该漏洞编号为CVE-2017-5121,微软的研究人员通过谷歌的漏洞赏金计划获得了15837美元的奖金,他们计划将该奖金捐献给慈善机构。

谷歌在上个月修补了该漏洞,并发布了Chrome61。但是微软指出此次发布的补丁是基于开源的浏览器项目Chromium,修补的源代码会在公布给用户之前发布到GitHub,这可能让攻击者有机会利用漏洞来攻击不受保护的用户。

关键字:谷歌微软

本文摘自:黑客与极客

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^