Un ricercatore di sicurezza ha da poco pubblicato su Twitter un esempio pratico di codice in grado di sfruttare una seria vulnerabilità zero-day nelle versioni attuali di Google Chrome, Microsoft Edge e molti altri browser basati su Chromium. La soluzione arriverà però molto presto.
Una vulnerabilità zero-day indica una falla di sicurezza conosciuta pubblicamente ma non ancora risolta nelle versioni attuali del software che ne è afflitto. In questo caso stiamo parlando del motore JavaScript V8 dei browser Chromium che è colpito da una vulnerabilità grave, la quale permette l’esecuzione remota di codice. Il codice PoC (Proof of Concept) è stato pubblicato su Twitter dal ricercatore per la sicurezza Rajvardhan Agarwal.
Il ricercatore ha aggiunto che la vulnerabilità è già stata eliminata nell’ultima versione del motore JavaScript V8, tuttavia non è ancora chiaro quando una nuova versione dei browser con questa patch raggiungerà gli utenti. Sappiamo che dovrebbe essere un problema del passato con la versione 90 di Google Chrome, in arrivo nel prossimo futuro.
Il PoC, se caricato assieme al relativo JavaScript nei browser affetti, è in grado di sfruttare questa vulnerabilità per avviare la calcolatrice di Windows definita dall’eseguibile calc.exe.
La cosa positiva in tutto questo è che il codice di Agarwal che sfrutta la falla zero-day non può attualmente sfuggire alla sandbox del browser. La sandbox di Chrome è un limite di sicurezza che impedisce alle vulnerabilità di esecuzione di codice remoto in grado di lanciare programmi sul computer ospite.
Affinché l’exploit zero-day RCE (Remote Code Execution) di Agarwal funzioni, dovrebbe essere concatenato con un’altra vulnerabilità che permette all’exploit di sfuggire alla sandbox di Chromium.
I colleghi di BleepingComputer sono stati in grado di provare l’exploit avviando Google Chrome con il flag –no-sandbox in modo da verificarne l’effettiva pericolosità.
Si ritiene che questa vulnerabilità sia la stessa utilizzata da Bruno Keith e Niklas Baumstark di Dataflow Security al Pwn2Own 2021, dove i ricercatori hanno violato sia Google Chrome che Microsoft Edge.