Эксперты по кибербезопасности редко выкладывают в общий доступ информацию об эксплоитах для неисправленных уязвимостей. Но этот случай очень необычный, так как по факту уязвимость исправили, но исправления еще очень долго будет недоступны для пользователей.
Уязвимость в браузере Google Chrome удалось обнаружить специалисту по кибербезопасности из компании Exodus Intelligence Иштвану Куруцаю. Он еще давно сообщил о найденной проблеме компании Google и по истечении положенного времени он опубликовал в Интернете эксплоит.
Брешь затрагивает движок JavaScript. Специалисты Google уже придумали решение возникшей проблемы и реализовали его в JavaScript V8, но пользователям эта версия станет доступна еще не скоро. На данный момент им доступна только версия движка 73.
Почему же Куруцай пошел на такой шаг и поставил под угрозу миллионы пользователей? Оказывается, специалист решился на такой шаг просто ради того, чтобы показать компании Google несовершенство ее системы исправлений. Между самим исправлением проблемы и выхода общедоступных патчей проходит очень много времени, что повышает риск совершения атак с обнаруженной уязвимостью.
Работу над самим исправлением Google закончил еще 18-го марта, но когда его получат пользователи - еще неизвестно.
Эксплоит, опубликованный специалистом, позволяет злоумышленником удаленно совершить атаку и выполнить произвольный код на компьютере жертвы. Чтобы не спровоцировать рост числа атак, Куруцай опустил некоторые подробности.