安全研究员公开 Chrome 的漏洞利用

安全 Chromium
WinterIsComing (31822)发表于 2021年04月14日 18时26分 星期三
来自部门
一位印度安全研究员在 GitHub 上公开了 Chrome/Chromium 漏洞的 POC 利用代码,他并不是漏洞的发现者,而是通过逆向工程补丁重新实现漏洞利用,他的做法被一些人指责是不道德的。Rajvardhan Agarwal 称,两名安全研究员 Bruno Keith 和 Niklas Baumstark 在上周举行的 Pwn2Own 安全挑战赛上成功利用漏洞入侵 Chrome 和 Edge,赢得了 10 万美元奖金。根据规则,漏洞细节没有公开而是报告给了 Chrome 安全团队。Agarwal 在检查 Chrome 的 V8 JS 引擎源代码时注意到了修复该漏洞的补丁,这允许他通过逆向工程重新实现漏洞利用。V8 的漏洞补丁尚未整合到 Chrome 和 Edge 的正式版本中,基于 Chromium 的浏览器仍然容易受到攻击。