更早版本的 Chrome 浏览器曝远程代码执行漏洞，谷歌不打算修复

一名不愿署名的安全研究人员最近发现了 Chrome 浏览器中的一个远程代码执行漏洞，影响到各版本的 Chrome，唯有最新版的 Chrome 60 不存在该漏洞。谷歌方面则表示他们并不打算修复该漏洞，因为最新版本的 Chrome 中不存在此漏洞。

这名研究人员主动将问题提交给了 Beyond Security，昨天 Beyond Security 公开了 PoC 代码重现此漏洞。漏洞存在于 Chrome 的 Turbofan 组件中，这个组件是用来优化 JavaScript 代码的。

攻击过程要求用户访问攻击者控制的网站，攻击者可在浏览器中执行代码，攻击者可窃取相关浏览器的数据，其中并未提到可实现沙盒逃逸且在 PC 级别执行代码。从 Clicky 的数据来看，Chrome 市场份额 59% ，其中一半在用 Chrome 60 ，也就是说仍有 1/10 的用户由于该漏洞暴露于安全风险中。当前不清楚该漏洞是否影响到 Chromium 项目及其它浏览器。