ProHoster > Blog > nûçeyên înternetê > Zehfbûna 0-rojî di Chrome-ê de bi analîzkirina guhertinên di motora V8 de hate nas kirin

Zehfbûna 0-rojî di Chrome-ê de bi analîzkirina guhertinên di motora V8 de hate nas kirin

Lêkolînerên ji Exodus Intelligence xwepêşandan kiriye xalek qels a di pêvajoya rastkirina qelsiyên di bingeha koda Chrome/Chromium de. Pirsgirêk ji vê yekê derdikeve ku Google eşkere dike ku guhertinên hatine çêkirin tenê piştî berdanê bi pirsgirêkên ewlehiyê ve girêdayî ne, lê
berî weşandina berdanê kodê li depoyê zêde dike da ku qelsiyek di motora V8 de rast bike. Ji bo demekê, rastkirin têne ceribandin û pencereyek xuya dike ku tê de xirapbûn di bingeha kodê de rast dibe û ji bo analîzê peyda dibe, lê qelsî li ser pergalên bikarhêner bêserûber dimîne.

Dema ku lêkolîna guheztinên ku li depoyê hatine çêkirin, lêkolîneran tiştek ku di 19ê Sibatê de hatî zêdekirin dîtin serrastkirî û di nav sê rojan de karîbûn xwe amade bikin îstîsmar kirin, bandor li ser berdanên heyî yên Chrome (xebata hatî weşandin pêkhateyên ku ji îzolasyona sandboxê derbas bikin tune ne). Google bi lez berdan Nûvekirina Chrome 80.0.3987.122, kargêriya pêşniyarkirî rast dike lawazbûn (CVE-2020-6418). Zelalbûn di eslê xwe de ji hêla endezyarên Google ve hate nas kirin û ji ber pirsgirêkek di xebitandina tîpê de di operasyona JSCreate de, ku dikare bi rêbaza Array.pop an Array.prototype.pop ve were bikar anîn, pêk tê. Balkêş e ku pirsgirêkek bi heman rengî hebû sabît kirin li Firefox havîna borî.

Lekolînwanan di heman demê de hêsaniya afirandina îstîsmaran ji ber tevlêbûnê jî destnîşan kirin Chrome 80 mekanîk pakkirina nîşanan (li şûna hilanîna nirxa tevahî 64-bit, tenê bitên jêrîn ên yekta yên nîgarê têne hilanîn, ku dikare bi girîngî xerckirina bîranîna girikê kêm bike). Mînakî, hin strukturên daneya serûber ên wekî tabloya fonksiyonê ya çêkirî, tiştên çarçoweya xwemalî, û tiştên root berhevkarê çopê naha ji navnîşanên pakkirî yên pêşbînîkirî û nivîsandinê re têne veqetandin.

Balkêş e, hema salek berê Exodus Intelligence bû kirin xwenîşandanek wusa ya îhtîmala afirandina mêtingeriyek li ser bingeha lêkolîna têketina giştî ya sererastkirinan di V8 de, lê, xuya ye, encamên rast nehatin şopandin. Li şûna lêkolîneran
Exodus Intelligence dibe ku êrîşkar an ajansên îstîxbaratê bin ku, dema ku îstîsmarek çêbikin, dê fersendek hebe ku bi rojan an tewra hefteyan berî ku serbestberdana Chrome-ê ya din were damezrandin, bi dizî xirapkariyê bi kar bîne.

Source: opennet.ru

Ji bo malperên bi parastina DDoS, serverên VPS VDS mêvandariya pêbawer bikirin 🔥 Hostinga malperê ya pêbawer bi parastina DDoS, serverên VPS VDS bikirin | ProHoster