Уязвимость, позволяющая дополнениям Chrome выполнять внешний код, несмотря на права доступа

Все новости из мира ОС Linux, BSD, Unix
Ответить
Аватара пользователя
[Ботя]
Тролль
Тролль
Сообщения: 89725
Зарегистрирован: 07 мар 2019, 15:48
ОС: MSDOS

Уязвимость, позволяющая дополнениям Chrome выполнять внешний код, несмотря на права доступа

Сообщение [Ботя] » 22 июл 2019, 15:30

Опубликован метод, позволяющий в любом дополнении к Chrome добиться выполнения внешнего JavaScript-кода без предоставления дополнению расширенных полномочий (без unsafe-eval и unsafe-inline в manifest.json). Права доступа предполагают, что без unsafe-eval дополнение имеет возможность выполнить только код, входящий в локальную поставку, но предложенный метод даёт возможность обойти данное ограничение и выполнить в контексте дополнения любой JavaScript, загруженный с внешнего сайта.

Подробнее...

Ответить

Вернуться в «Новости *nix»