Компания Acros Security сегодня распространила данные о ранее неизвестной серьезной уязвимости в браузере Chrome, позволяющей выполнить произвольный код за пределами «песочницы» браузера.
По словам представителей Acros, о наличии данного бага они уведомили Google еще в сентябре, но в интернет-компании заявили, что с их точки зрения это не баг, а «нетипичное поведение браузера, которое в будущем будет изменено». Как Acros, так и Google признают, что уязвимость работает лишь при определенных условиях, возникающих в системе. Кроме того, в блоге Acros сведения об уязвимости приводятся на примере ОС Windows, поэтому непонятно, работает ли она в Mac OS или Linux.
Компания сообщает, что ошибка заключается в том, как именно браузер обрабатывает связанные системные библиотеки, например библиотеки среды выполнения Java. Независимые специалисты говорят, что Google неверно реализовала в Chrome обработку локальных и удаленных адресов, что позволяет удаленным пользователям обращаться к локальным файлам, причем иногда даже к тем, что не должны быть видны за пределами «песочницы».
Также компания утверждает, что уязвимость работает в библиотеками Mozilla NSS и протоколом безопасности HTTPS.
cybersecurity.ru
