Во всех версиях браузера Chrome, за исключением последней (Chrome 60), присутствует уязвимость, позволяющая удаленно выполнить код. Проблема была обнаружена исследователем безопасности, который предпочел остаться в тени.
Пожелавший остаться неизвестным, исследователь сообщил об уязвимости через программу Beyond Security SecuriTeam Secure Disclosure.
В ответ на это уведомление инженеры Google сообщили Beyond Security о том, что не собираются исправлять проблему. Такую позицию они объяснили тем, что брешь не затрагивает последнюю версию браузера. Пораженные таким ответом, эксперты Beyond Security выпустили PoC-код для эксплуатации уязвимости.
Проблема затрагивает компонент Turbofan для оптимизации JavaScript-кода. Чтобы осуществить атаку, злоумышленнику необходимо заманить жертву на подконтрольный ему web-сайт с вредоносным JavaScript-кодом. Проэксплуатировав уязвимость, атакующий сможет выполнить код в браузере жертвы.
Источник: http://www.securitylab.ru/
