Sta diventando un caso la
pubblicazione online di exploit zero-day per l'esecuzione di codice da remoto su Chromium, su cui si basano browser popolari come
Google Chrome e Microsoft Edge. Questa settimana è stato un ricercatore di sicurezza con il nikname
furst che ha diffuso su Twitter un exploit RCE zero-day per Chromium. Nella demo l'autore sfruttava la falla per aprire l'applicazione Blocco note di Windows.
A inizio settimana era stato il ricercatore indiano Rajvardhan Agarwal a pubblicare, sempre su Twitter, un codice di exploit proof-of-concept funzionante per una vulnerabilità RCE per il motore JavaScript V8 nei browser basati su Chromium. In questo caso, per dimostrare che il PoC funzionava
aveva aperto la calcolatrice (calc.exe). I dettagli dell'exploit non sono stati resi noti per non agevolare i cyber criminali, c'è solo la dimostrazione del funzionamento.
La buona notizia è che lo zero-day di Agarwal
viene intercettato dalla sandbox del browser. Si tratta di una soluzione di sicurezza che impedisce alle vulnerabilità RCE di avviare programmi sul computer host. Pertanto, per funzionare l'exploit Agarwal dovrebbe essere associato a un'altra vulnerabilità o malware che gli consenta il macheramento.
La cattiva notizia è che la falla impiegata da Agarwal è stata corretta nell'ultima versione del motore JavaScript V8, ma non è chiaro quando Google la implementerà in Chrome. L'azienda potrebbe pubblicare Chrome 90 sul canale Stable nei prossimi giorni, da lì sarà possibile intuire se la prossima versione pubblica includerà la patch per questa vulnerabilità RCE zero-day.
Intanto resta l'interrogativo sull'originalità degli exploit in circolazione. Molti ritengono che la falla sfruttata sia la stessa presentata da Bruno Keith e Niklas Baumstark di Dataflow Security al Pwn2Own 2021. I due ricercatori l'hanno impiegata per bucare sia Chrome che Edge.