Se ha hecho pública esta semana una vulnerabilidad que
afecta a los navegadores basados en Chromium, esta vulnerabilidad afecta el
navegador independientemente del sistema operativa donde se encuentre instalado
siempre y cuando no esté actualizado a la última versión de Chromium.
La vulnerabilidad que permite una ejecución remota de código
(RCE) ha sido publicada por el investigador indio Rajvardhan Agarwal, aunque es
un exploit que estaba circulando desde hace tiempo por foros y grupos privados.
En este caso el exploit afecta al motor de renderizado de JavaScript V8 de
Chromium, por lo tanto, afecta a todos aquellos navegadores que se basen en
Chromium entre los cuales se encuentra Chrome o Microsoft Edge.
Está misma vulnerabilidad se demostró su funcionamiento en el
concurso de hacking Pwn2Own 2021 la semana pasada, siendo presentada por Bruno
Keith y Niklas Baumstark de Dataflow Security los cuales como recompensa por la
demostración se llevaron un premio de 100.000 dólares.
Tras ejecutar el exploit se produce la ejecución de la calculadora
de Windows. Para realizar este exploit es necesario un mecanismo que permita
escapar la sandbox.
La vulnerabilidad ya ha sido solucionada en la última
actualización lanzada, Chromium 89.0.4389.128.