В четверг, 4 апреля, исследователь безопасности компании Exodus Intelligence Иштван Куручай (István Kurucsai) PoC-эксплоит и демо-видео для неисправленной уязвимости в Google Chrome. Уязвимость позволяет злоумышленнику удаленно выполнить произвольный код на системе жертвы. Проблема уже исправлена в V8 (JavaScript-движке браузера), но патч пока еще не добавлен в стабильную версию Chrome 73, используемую на более чем 1 млрд устройств.
Причина, по которой исследователь решил опубликовать PoC-эксплоит до исправления уязвимости, – желание продемонстрировать изъяны в процессе подготовки патчей. По мнению Куручая, пока Google работает над исправлениями, злоумышленники успевают создать эксплоиты и атаковать пользователей.
Задержка патчей связана с цепочкой поставок Chrome, подразумевающей импорт и тестирование кодов из различных источников. В случае с уязвимостью в движке V8 исправление было готово 18 марта, после чего оно стало доступно в журнале изменений проекта и исходном коде V8. Однако в сам браузер патч пока еще не добавлен.
В настоящее время обновление проходит все этапы сборки, включающие интеграцию с проектом Chromium, интеграцию с кодовой базой Chrome, тестирование в Chrome Canary и Chrome Beta, и только после этого патч будет добавлен в стабильную версию браузера. В результате у злоумышленников появляется «окно» от нескольких дней до нескольких недель, когда подробности об уязвимости уже известны, но стабильная версия Chrome еще не получила обновление.
Опубликованный исследователем PoC-эксплоит в своем нынешнем виде является сравнительно безобидным. Куручай специально не добавил в него возможность обхода песочницы, необходимую для выполнения кода. Тем не менее, злоумышленники могут воспользоваться им вкупе со старыми уязвимостями обхода песочницы и выполнить код на атакуемой системе.