Un investigador de seguridad ha publicado una prueba de concepto para una vulnerabilidad crítica que afecta a Chrome y otros navegadores basados en Chromium, como Microsoft Edge, Opera y Brave.
El exploit, que afecta al motor de javascript V8 y permite la ejecución remota de código, parece aprovechar el mismo fallo que el demostrado en la pasada Pwn2Own 2021, que fue recompensado con un premio de 100.000 dólares.
Según la captura de pantalla compartida en Twitter, la carga de la prueba de concepto en un navegador vulnerable provoca la ejecución de la calculadora de Windows. Es importante señalar, no obstante, la necesidad de complementarlo con otro mecanismo para escapar del sandbox y poder utilizar, por ejemplo, funciones de red.
Al parecer, el investigador fue capaz de desarrollar la prueba de concepto tras analizar el parche incorporado al respositorio de Chromium, que aún no ha llegado a la versión estable de Chrome, por lo que a la fecha de la publicación, se podría considerar un 0-day.
Más información
https://thehackernews.com/2021/04/rce-exploit-released-for-unpatched.html
https://github.com/r4j0x00/exploits/tree/master/chrome-0day
