新经网科技、数码、互联网新闻如今都成为了大众所关注的热点了,因为在我们的生活当中如今已经是处处与这些相关了,不论是手机也好,电脑也好,又或者是智能手表也好,与之都相关,那么今天小编也是为大家来推荐一篇关于互联网科技数码方向的文章,希望大家会喜欢哦。
Web浏览器已经变得非常强大,但是,正如老套话所说的那样,这种能力也伴随着责任。诸如Chrome之类的主要浏览器经常使用沙盒方法来确保任何任性的网页都不会损害系统的其余部分。但是,这些沙箱方法最终依赖于底层操作系统的功能,对于那些依赖Chromium在Windows10上的沙箱的人来说,不幸的是,Microsoft仅更改了一行代码,使几乎所有主要网络浏览器的沙箱均无效,包括Chrome和具有讽刺意味的,MicrosoftEdge。
沙箱背后的基本原理是确保进程(在这种情况下,即浏览器处理网页的一部分)对关键系统资源的访问尽可能少。这依赖于OS的功能,在Windows10的情况下,该功能围绕早在Windows2000中引入的受限令牌而定。
不幸的是,来自Google零项目漏洞搜寻工作的一名安全研究人员在2020年5月Windows10更新中对一行代码进行了一次单一更改,该更改更改了处理这些令牌的方式。研究人员JamesForshaw能够尝试几种方法来证明如何在Windows10上打破Chromium沙箱。
可能有人认为只有Google的Chrome会受到此bug的影响,但实际上它影响了几乎所有在Windows上运行的流行浏览器,现在实际上已经受到攻击。那是因为其中许多工具(包括GoogleChrome,Opera,Brave和Microsoft自己的Edge)实际上在下面使用了Chromium。具有讽刺意味的是,MozillaFirefox至少在Windows上也使用Chromium的沙箱,这也意味着它也受到了影响。
Microsoft尚未就此披露发表任何声明。好消息是,没有其他操作系统级别的漏洞,漏洞也并非那么容易利用。Google的安全研究人员的确指出了这一级别的微小变化如何导致许多以前的安全系统崩溃。
