Группа Cisco рассказала об уязвимостях Chrome и Firefox

Исследовательская группа Cisco раскрыла подробности недавно исправленных уязвимостей, влияющих на веб-браузеры Chrome и Firefox.

Фото: Pixabay

Недостаток Chrome с высоким уровнем серьезности с оценкой CVSS 8,8, получивший код CVE-2020-6463 и высокий уровень серьезности, был исправлен Google в апреле с выпуском Chrome 81.0.4044.122 . Технический гигант заплатил 5 тыс. долларов за выявленную ошибку, сообщает Security Week.

Уязвимость, описанная как проблема повреждения памяти, затрагивает PDFium, рендер PDF с открытым исходным кодом, используемый Chrome и другими приложениями. Злоумышленник может использовать уязвимость для удаленного выполнения кода в браузере, заставляя жертву открывать специально созданный документ, содержащий код JavaScript.

«PDFium поддерживает выполнение сценариев Javascript, встроенных в документы PDF. Как и сам Chrome, PDFium использует V8 в качестве движка Javascript. Эта уязвимость заключается в том, что V8 в конкретной конфигурации обрабатывает регулярные выражения », — объясняют исследователи группы Cisco.

Компания Google выпустила патч для CVE-2020-6463 примерно через две недели после того, как узнала о существовании ошибки. В новой версии Chrome исправлен ряд других серьезных проблем.

В Cisco рассказали и об уязвимости Firefox. Ошибка высокой степени серьезности CVE-2020-12418, связанна с функциональностью URL mPath. Ее можно использовать чтобы обойти ASLR и выполнить произвольный код. 

Как сообщал Startpack, ранее Google анонсировал новые меры безопасности для корпоративных профилей в Android-11.