Компания Acros Security сегодня распространила данные о ранее неизвестной критической уязвимости в браузере Chrome, позволяющей выполнить произвольный код за пределами "песочницы" браузера. По словам представителей Acros, о наличии данного бага они уведомили Google еще в сентябре, но в интернет-компании заявили, что с их точки зрения это не баг, а "нетипичное поведение браузера, которое в будущем будет изменено". Как Acros, так и Google признают, что уязвимость работает лишь при определенных условиях, возникающих в системе. Кроме того, в блоге Acros сведения об уязвимости приводятся на примере ОС Windows, поэтому непонятно, работает ли она в Mac OS или Linux.

Компания сообщает, что ошибка заключается в том, как именно браузер обрабатывает связанные системные библиотеки, например библиотеки среды выполнения Java. Независимые специалисты говорят, что Google неверно реализовала в Chrome обработку локальных и удаленных адресов, что позволяет удаленным пользователям обращаться к локальным файлам, причем иногда даже к тем, что не должны быть видны за пределами "песочницы".

Также компания утверждает, что уязвимость работает в библиотеками Mozilla NSS и протоколом безопасности HTTPS.