Chrome

WebDriver是用于浏览器自动化的一种协议,可以像真实用户操作浏览器一样,驱动浏览器在网页上来执行各种测试。该协议可以用来模拟用户操作,如点击链接、输入文本以及提交表单,便于测试网站是否正常工作。
本篇提到的可能不是什么特别的漏洞模式,也不专有于chrome,但是因为笔者在做漏洞分析的时候,看过大概四五个一样的漏洞,所以权做分享。
本篇和上一篇有所类似,但是本篇主要用到的特性偏重于对象ownership关系的误用,以及callback里指针的不安全用法。
本系列将简述一些chrome里相对经久不衰的UAF漏洞模式,并配以一个具体的漏洞分析。
Google发布公告,旧版本的 chrome 浏览器的 FreeType字体库中存在堆溢出,被利用可能导致 RCE(远程代码执行)。
在2020年3月,我发现了Chrome WebAudio模块中存在释放后使用(UAF)漏洞。
近期,一则#手机验证码已被骗子利用转空银行卡#的热搜新闻引起广泛热议,犯罪分子利用模拟基站信号,拦截手机验证码短信,完全不用你配合,就能刷空你的银行卡!
CVE-2020-6418是2020年2月24日Google公布的一个Chrome浏览器的高危漏洞,这也是19年至今被发现的第三个Chrome在野漏洞利用。
在我们了解了bug的工作原理后,并将这些细节发送给Chrome以帮助他们开始修复之后,我们回到了其他项目。这个bug仍然是一个讨论的话题,我们没有理由不为它编写exploit。
CVE-2019-0808是win32k.sys中的一个空指针解引用漏洞。