首页 > 业界 > 关键词 > 漏洞最新资讯 > 正文

安全研究人员在Twitter上分享了Chromium零日漏洞的概念验证代码

2021-04-15 15:59 · 稿源:cnbeta

印度安全研究人员 Rajvardhan Agarwal,刚刚在 Twitter 上分享了影响基于 Chromium 内核的诸多浏览器的零日漏洞可知 Google Chrome、Microsoft Edge、Opera 和 Brave 等均受到影响,且 @r4j0x00 附上了 GitHub 的概念验证代码传送门。

Rajvardhan Agarwal 在接受 The Record 采访时称,该漏洞源于一个 Chromium 中的 Bug,且有在上周举办的 Pwn2Own 黑客大赛中被使用。

当时 Dataflow Security 安全研究人员 Bruno Keith(@bkth_)和 Niklas Baumstark(@_niklasb)成功地利用了该漏洞,在 Chrome 和 Edge 上运行了恶意代码,并获得了 10 万美元的奖金。

根据比赛规则,有关此漏洞的详情已经被提交给 Chrome 安全团队,因而有望尽快得到修补。虽然没有公开披露漏洞详情,但 Agarwal 宣称他在 V8 JavaScript 引擎的源代码中看到了端倪。

然后通过重现 Pwn2Own 比赛上的漏洞利用,Agarwal 在早些时候将概念验证代码上传到了 GitHub,并在 Twitter 上进行了分享。

需要指出的是,尽管 Chromium 开发人员在上周修复了该 bug,但相关补丁尚未集成到采用 Chromium 内核的下游浏览器的正式版本中,意味着 Chrome 和 Edge 用户仍然很容易受到攻击。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • Twitter将研究其算法造成的潜在“无意伤害”

    据外媒Engadget报道,Twitter宣布了一项研究其算法公平性的新计划。作为这项被该公司称为“负责任的机器学习计划”的努力的一部分,来自整个公司的数据科学家和工程师将研究其算法造成的潜在“无意伤害”,并将研究结果公之于众。“我们正在进行深入的分析和研究,以评估我们使用的算法是否存在潜在的危害,”该公司在宣布该倡议的一篇博客文章中写道。首先,该公司将研究Twitter的图像裁剪算法,该算法一直被批评为偏向皮肤较白的

  • Twitter将在加纳开设办事处 以在非洲开展业务

    据外媒Neowin报道,Twitter经常标榜自己是一个公共对话的平台,随着时间的推移,它已经对其用户体验进行了改变,以使讨论更加透明。这些包括识别国家元首和国家附属媒体账户的标签,以及以社区为导向的方法来遏制错误信息的传播。周一该公司宣布,它正在加纳开设一个新的办公室,以在非洲开展业务。此举是Twitter促进公众对话的发展战略的一部分。该公司认为,为了推动与非洲大陆相关的建设性讨论,它需要与非洲社区充分接触。因此

  • Twitter十五周年:与名人、记者和假消息的故事未完待续

    一个名叫Jack Dorsey的人在自己的网站上发布了第一条消息:“just setting up my twttr”,自此,社交网站的发展史上又添加了重要的一员。

  • 春季特别活动下周开幕 苹果再花重金购买Twitter的hashflag图标

    伴随着苹果宣布春季特别活动将会在北京时间4月21日凌晨1点举行,Twitter 启动了一个新的 hashflag 图标,以帮助在该社交平台提高活动的知名度。该图标使用了苹果下周活动邀请函上所使用的彩虹卷曲形 Apple 图标。在最近几次的活动中,苹果都在 Twitter 平台上使用了 hashflag 图标,也就是在传统标签旁边再加上显眼的图标,从而增加营销活动的影响力。自去年9月的 iPad Air 和 Apple Watch 活动中首次推出“#AppleEvent”这个 hash

  • Nativex 成为 Twitter 官方合作伙伴,为手游出海推广全面提速

    近日,Nativex 正式官宣加入 Twitter 官方合作伙伴计划。Nativex 是汇量科技 Mobvista 集团旗下全球效果导向移动营销平台,专注于跨渠道效果投放,助推全球业务增长。据悉,Twitter 官方合作伙伴计划是 Twitter 为帮助广告主实现高效流畅的营销体验,精心挑选出拥有出色经验的合作方,为广告主提供营销服务。Twitter 表示,Nativex 作为中国第一批出海营销团队,深耕海外市场增长领域多年,以本地化策略融入当地市场,凭借对 Twitt

  • GitHub 调查滥用其基础设施挖掘加密货币

    GitHub 正在调查一系列对其基础设施的攻击,攻击者滥用其自动化执行任务的功能 GitHub Actions 去挖掘加密货币。攻击者首先创建了合法项目的分支,然后向原代码库递交恶意的 Pull Reques,只需要递交就能发动攻击。如果项目启用了 GitHub Actions,那么新的 Pull Reques 就会被视为新的任务自动执行测试。GitHub 的系统将会读取恶意代码,在其基础设施内启动虚拟机下载和运行挖掘加密货币的软件。这一攻击至少从2020年11月就开始了

  • 美国两位青少年打造Twitter机器人 帮助人们追踪COVID-19疫苗的可用性

    据外媒CNET报道,对于很多美国人来说,抢到COVID-19疫苗预约名额意味着坐在电脑前,无休止地刷新多个浏览器,希望通过他们的医疗服务提供者或当地的连锁药店抢到一个难得的开放名额。美国青少年Sam Mendelson和Daniel Stoiber想要帮助他们的父母避免令人沮丧的疫苗追逐狂潮,所以他们创造了一个称为CovaxSF的Twitter机器人,通过扫描加州的MyTurn疫苗数据库来跟踪疫苗的可用性,并提醒追随者何时(和何处)在旧金山湾区的预约开放?

  • GitHub正调查有害行为者滥用其服务器基础设施进行加密采矿活动

    代码托管服务GitHub的发言人今天表示其在积极调查一系列针对其云基础设施的攻击,这些攻击让网络犯罪分子植入并滥用该公司的服务器进行非法的加密采矿作业。这些攻击自2020年秋季以来一直在进行,其滥用了GitHub的一个名为GitHub Actions的功能,

  • Sonnet宣布推出双插槽40Gbps Thunderbolt SxS Pro X读卡器

    Sonnet宣布推出一款新的读卡器,被称为SF3系列--SxS PRO X读卡器,能够同时摄取多张索尼SxS卡。SF3系列SxS PRO X读卡器具有两个卡槽和一个双端口40Gbps的Thunderbolt接口,支持索尼SxS、SxS-1、SxS Pro、SxS Pro+和SxS PRO X卡。它允许用户以最高速度传输SxS卡上的文档,并可同时读取两张卡,速度高达2500MB/s。用户可以用线缆将多个读卡器串联在一起,最多支持6个串联的读卡器。这样,用户可以在不需要插拔的情况下读写多张卡,节

  • GitLab 远程代码执行漏洞通告

    2021年03月18日,360CERT监测发现GitLab官方发布了GitLab 代码执行的风险通告,漏洞等级:严重,漏洞评分:9.9。

  • 为FBI解锁圣贝纳迪诺枪手iPhone的公司被曝出:Azimuth Security

    就连苹果公司也查不出FBI在哪家公司的协助下解锁了圣贝纳迪诺枪手的一部iPhone,但一份新的报告声称知道做这项工作的秘密公司,它的名字叫Azimuth Security。尽管2016年有很多人猜测FBI雇佣了业内知名的Cellebrite来解锁枪手的iPhone 5C,但直到现在,真正的公司才被点名。这是一家名为Azimuth Security的澳大利亚国防承包商,现在是L3Harris Technologies的一部分。据《华盛顿邮报》报道,Azimuth是一家 "羞于对外公开"的公司,但

  • 英伟达联手阿里云和英迈中国举办线上TensorRT Hackathon大赛

    AI 技术随着深度学习的出现,计算领域也正在经历着重大的变革,深度学习的训练和推理性能均依赖于 GPU 加速技术的合理运用。英伟达为了让科学家、工程师、开发者们能更好地利用GPU,使其在做深度学习推理的时候达到更好的效果。推出了支持高性能深度学习推理加速引擎——TensorRT。TensorRT是一个高性能的深度学习推理(Inference)优化器,可以为深度学习应用提供低延迟、高吞吐率的部署推理。TensorRT可用于超大规模数据中心、?

  • Spotify在美国推出车载娱乐系统 Car Thing

    Spotify今天上午正式宣布在美国限量发售其首款硬件设备,名字很奇怪,叫Car Thing,针对Spotify Premium用户。这款新设备Spotify竟然免费提供(包括免运费)。与2019年首次开始测试的版本相比,有了很大的进化。这款升级型号有一个触摸屏,一个大的,可抓握的旋钮,用于导航,语音控制功能,以及顶部的四个预设按钮,用于喜爱的音乐,播客或播放列表,类似于移动设备上的Spotify。该公司解释说,Car Thing将满足那些希望获得更无缝

  • Spotify 推出首款硬件设备:车载娱乐系统 Car Thing

    据 Tech Crunch 报道,Spotify 今天在美国限量推出其首款硬件设备 Car Thing,将免费提供给部分 Spotify Premium 用户。

  • B站投资TapTap母公司

    今日,哔哩哔哩宣布以约9.6亿港元战略投资心动公司,B站将以42.38港元/股的价格认购心动公司发行的普通股22,660,000股,交易完成后,B站将持有心动公司约4.72%股权。<br/> <br/>

  • 大航海时代4威力加强HD版Steam/Switch版5月推出

    ​光荣特库摩宣布模拟游戏《大航海时代》系列的第四作《大航海时代4PORTO ESTADO》的移植版《大航海时代4with 威力加强HD 版》(Steam/Nintendo Switch)将于2021年5月20日(四)发售。

  • Beta版Proton Calendar​现面向所有ProtonMail用户开放

    因强悍的隐私保护,ProtonMail 受到了很多人的追捧。现在开发商宣布,所有使用该电子邮件服务的用户都能够在网页端和 Android 端访问 Beta 版 Proton Calendar,而 iOS 版本即将开放。和 ProtonMail 一样,Proton Calendar 在提高易用性的同时使用端到端加密来确保你的信息安全。Proton Calendar 早在 2019 年就开始测试,现在扩展到使用 ProtonMail 的所有用户。想要访问 Proton Calendar,你可以直接进入 calendar.protonmail.co

  • 任天堂Switch Pro部分参数曝光:TV模式支持4K分辨率

    有关任天堂新主机Switch Pro的消息最近越来越多,侧面也说明任天堂这款主机上市的时间也越近了。就在近日国外网站又曝光了Swtich Pro的部分参数,这里我们来看下这款主机的参数信息。

  • 2021 年2 月头号恶意软件:Trickbot 取代 Emotet 的位置

    Check Point Research 报告指出,在1 月份国际警察联合行动控制了 Emotet 后,网络犯罪分子转而利用 Trickbot 来维持其恶意活动 2021 年3 月, 全球领先网络安全解决方案提供商 Check Point? 软件技术有限公司 (纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research 发布了2021 年2 月最新版《全球威胁指数》报告。研究人员报告称,Trickbot 木马 从1 月份的指数排行榜第三位首次跃升至榜首。 Check Point 研究人员报告

  • 算法升级后 Twitch宣布揪出750万机器人账号

    周三的时候,亚马逊旗下游戏流媒体平台 Twitch 在推特上发布了一则消息,称该公司通过改进的机器学习算法,筛查到了数以百万计的“假粉机器人”。目前 Twitch 正在设法清理这部分机器人账号,因为它们的存在,会让重要的流媒体统计数据产生巨大的偏差。在周三发布的推文中,Twitch 表示其发现了 750 万个机器人账号。除了凑数用的“追粉”僵尸号,其中还有不少有助于提升主播人气的“观看机器人”。Twitch 方面表示,这些机器人账?

  • 热门标签

热文

  • 3 天
  • 7天