وقع كل من متصفح جوجل كروم و مايكروسوفت إيدج وجميع المتصفحات القائمة على كروميم ضحية لخرق أمني. من خلال استغلال هذا الاختراق الذي استمر في Z-zero-day، يكون المهاجم قادرًا على تنفيذ التعليمات البرمجية عن بُعد دون علم المستخدمين. من خلال الاعتماد على عيب آخر، يمكن للمتسلل من الناحية النظرية اختراق جهاز الكمبيوتر .
في 12 أبريل 2021، كشف راجاردهان أغاروال، باحث في أمن الكمبيوتر، عن وجود ثغرة أمنية في Z-zero-day في كروم والمتصفحات التي تعتمد على محرك عرض كروميم، بما في ذلك متصفح إيدج.
وللتذكير، فإن عيب يوم الصفر هو خرق لبرنامج أو نظام تشغيل لم يتم تصحيحه بعد. من ناحية أخرى، تم الكشف عنها علنًا، مما يفتح الباب أمام احتمال أن يسعى المتسللون لاستغلالها لأغراض إجرامية.
وفقًا لنتائج راجاردهان أغاروال، يسمح هذا الخلل الأمني بتنفيذ التعليمات البرمجية عن بُعد على جهاز كمبيوتر من خلال محرك V8 JavaScript في المتصفحات القائمة على كروميم. في التقرير المنشور على Github، أوضح الباحث في أمن الكمبيوتر أنه كان قادرًا على تشغيل الآلة الحاسبة للكمبيوتر من خلال متصفح الويب.
عيب أمني تم حظره بواسطة صندوق الحماية في كروم وإيدج
وفقًا لـراجاردهان أغاروال، تم حظر هذا الاختراق بواسطة صندوق الحماية Sandbox لمتصفح الويب. صندوق الحماية هذا هو أحد وظائف الأمان في جوجل و الذي يعزل العمليات والمكونات المختلفة للمتصفح.
لاستغلال هذا الخلل، من الضروري دمجها مع خرق مما يجعل من الممكن التخلص من الصندوق. خلافا لذلك، فإن المتسلل سيكون عالقًا وغير قادر على إحداث أي ضرر. كما أن أحد الخيارات يتيح لك تعطيل وضع الحماية على كروم و إيدج، مما يعرض بعض مستخدمي الإنترنت للخطر.
يؤكد الخبير أن هذا الخلل قد تم تصحيحه بواسطة محرك JavaScript V8. ومع ذلك، لم يتم تضمين هذا التصحيح في أحدث إصدار من كروميم، بما في ذلك كروم 89 و مايكروسوفت إيدج 89. يمكننا أن نتوقع تضمين التصحيح في الإصدار المستقبلي من المتصفحات، كروم 90 و إيدج 90.