Виконання коду в Google Chrome

20:05 03.02.2009

Нещодавно була виявлена нова можливість виконання коду в Google Chrome. Атака відбувається через Internet Explorer. Дана уразливість є продовженням попередньої уразливості в Google Chrome, в ній зроблена підтримка IE6 і IE7 (бо попередня атака працювала тільки на IE8).

Уразливі версії: Google Chrome 1.0.154.46 та попередні.

При переході по лінці з URI chromehtml в IE (або через frame/iframe) відбувається запуск Chrome з можливістю одночасного виконання команди (наприклад, запуску довільного додатку).

Дана уразливість перевірена (автором експлоіта) в Internet Explorer 6 й Internet Explorer 7 і Google Chrome 1.0.154.46. В мене на IE6 вона не працює, як і попередня.

  • Google Chrome 1.0.154.46 (ChromeHTML://) Parameter Injection PoC (деталі)

Leave a Reply

You must be logged in to post a comment.