Дослідник Раджвардхан Агарвал (Rajvardhan Agarwal), який працює у сфері інформаційної безпеки, виявив небезпечну вразливість нульового дня, яка зачіпає актуальні версії браузерів Google Chrome, Microsoft Edge та інших оглядачів на базі Chromium. Експлуатація цієї вразливості дозволяє здійснити віддалене виконання коду. Своїм відкриттям дослідник поділився на своїй сторінці в мережі Twitter.
Варто зазначити, що дослідник не тільки виявив вразливість у JavaScript-движку V8, а й створив робочий експлойт для її експлуатації. Примітно, що движок V8 використовується у всіх актуальних версіях браузерів на основі Chromium, тому можна сказати, що проблема зачіпає Chrome і Edge, а також інші оглядачі, такі як, наприклад, Opera або Brave. Згідно з наявними відомостями, дана вразливість була усунена в останній версії движка V8, але Google так і не поширила відповідне виправлення на актуальні версії свого оглядача.
Експлуатація вразливості передбачає використання особливим чином сконфігурованих файлів HTML і JavaScript, які завантажуються в браузер жертви. Хороша новина в тому, що опублікований дослідником експлойт не може використовуватися для проведення атак сам по собі. Справа в тому, що для його застосування зловмиснику необхідно вийти за межі пісочниці Chrome, а для цього потрібна експлуатація іншої вразливості.
Фахівці ресурсу BleepingComputer протестували експлойт в актуальних версіях Chrome і Edge, в яких попередньо була відключена пісочниця. У підсумку вони змогли віддалено запустити додаток «Калькулятор» на атакуючому пристрої. Найімовірніше, незабаром Google та інші розробники браузерів на основі Chromium випустять відповідне виправлення, яке усуне згадану вразливість.