В самом популярном в мире веб-обозревателе Google Chrome обнаружена очень опасная уязвимость, при эксплуатации которой хакеры удаленно могут проникнуть на компьютер жертвы и выполнить на нем произвольный код. Но несмотря на это компания не намерена браться за устранение уязвимости.
Уязвимость в Google Chrome удалось обнаружить независимым исследователем безопасности, который скрыл свое имя. Сообщить об обнаружении дыры в самом популярном браузере ему помогла программа Beyond Security SecuriTeam Secure Disclosure.
Как стало известно, обнаруженная проблема затрагивает почти все версии браузера, кроме самой новой — 60-ой версии. После обращения в компанию Google исследовать получил официальный ответ, в котором указано, что компания не намерена исправлять эту уязвимость, так как для ее устранения достаточно всего лишь обновить веб-обозреватель до самой свежей версии.
Хакеров, обнаруживших дыру в браузере, удивил такой ответ, в связи с чем они в Интернете подробно описали уязвимость и даже выпустили PoC-код, позволяющий использовать эту уязвимость.
Дыра в браузере Chrome касается непосредственно компонента Turbofan, используемого с целью оптимизации JavaScript-кода. Чтобы злоумышленники могли эксплуатировать эту уязвимость, они должны создать специальную страницу, внедрить на нее вредоносный JavaScript-код, а потом уж заманить на эту страницу пользователя. Как только эта страница откроется в браузере жертвы, злоумышленники получат удаленный доступ к компьютеру пользователя и смогут выполнить на нем произвольный код. Как ведет себя вредонос в песочнице, не уточняется, по по крайней мере злоумышленники смогут хотя бы получить доступ к данным, хранящимся в браузере. А это не только история поиска, но еще логины и пароли, которые хранит Chrome.
Пока известно, что эта уязвимость представляет опасность только для пользователей браузера Google Chrome. В других популярных веб-обозревателях ее не обнаружили.