Esta semana se lanzó en Twitter un segundo exploit de ejecución remota de código de día cero de Chromium que afecta a las versiones actuales de Google Chrome, Microsoft Edge y probablemente a otros navegadores basados en Chromium.
Una vulnerabilidad de día cero es cuando se publica información detallada sobre una vulnerabilidad o un exploit antes de que los desarrolladores de software afectados puedan solucionarlo. Estas vulnerabilidades representan un riesgo significativo para los usuarios, ya que permiten que los actores de amenazas comiencen a usarlas antes de que se publique una solución.
Hoy, un investigador de seguridad conocido como frust lanzó un exploit de PoC en Twitter para un navegador de error de día cero basado en Chromium que hace que se abra la aplicación Bloc de notas de Windows.
Esta nueva vulnerabilidad de día cero se produce un día después de que Google lanzó Chrome 89.0.4389.128 para corregir una vulnerabilidad de día cero de Chromium diferente que se lanzó públicamente el lunes.
Al igual que la vulnerabilidad de día cero del lunes, la vulnerabilidad de ejecución remota de código de frust no es capaz de escapar de la función de seguridad de la zona de pruebas de Chromium. La caja de arena de Chromium es una característica de seguridad que evita que los exploits ejecuten código o accedan a archivos en las computadoras host.
A menos que un actor de amenazas encadena el nuevo día cero con una vulnerabilidad de escape de la caja de arena sin parche, el nuevo día cero en su estado actual no puede dañar a los usuarios a menos que desactive la caja de arena.
Frust lanzó un video que demuestra la vulnerabilidad que se explota para demostrar que su exploit PoC funciona.
BleepingComputer también ha confirmado de forma independiente que la vulnerabilidad funciona al iniciar las versiones actuales de Google Chrome y Microsoft Edge usando el –no-sandbox argument, que deshabilita la función de seguridad de la zona de pruebas.
Después de deshabilitar la caja de arena, el exploit podría iniciar el Bloc de notas en Google Chrome 89.0.4389.128 y Microsoft Edge 89.0.774.76, que son las últimas versiones de ambos navegadores.
Google estaba programado para lanzar Chrome 90 para escritorio ayer, 13 de abril, pero en su lugar lanzó la nueva versión de Chrome para corregir el día cero lanzado el lunes.
No se sabe si este día cero adicional evitará aún más el lanzamiento de Chrome 90, ya que Google se pone al día con los investigadores de seguridad.