Websecurity - Веб безпека

Нещодавно була виявлена нова можливість виконання коду в Google Chrome. Атака відбувається через Internet Explorer. Дана уразливість є продовженням попередньої уразливості в Google Chrome, в ній зроблена підтримка IE6 і IE7 (бо попередня атака працювала тільки на IE8).

Уразливі версії: Google Chrome 1.0.154.46 та попередні.

При переході по лінці з URI chromehtml в IE (або через frame/iframe) відбувається запуск Chrome з можливістю одночасного виконання команди (наприклад, запуску довільного додатку).

Дана уразливість перевірена (автором експлоіта) в Internet Explorer 6 й Internet Explorer 7 і Google Chrome 1.0.154.46. В мене на IE6 вона не працює, як і попередня.

• Google Chrome 1.0.154.46 (ChromeHTML://) Parameter Injection PoC (деталі)

This entry was posted on 20:05 03.02.2009 and is filed under Новини, Помилки. You can follow any responses to this entry through the RSS 2.0 feed.