在上週（2021年4月8日）的白帽駭客大賽Pwn2Own中，兩名安全研究人員Bruno Keith與Niklas Baumstark 共同揭示了一存在於Chromium Javascript v8引擎中的漏洞，兩人因發現此漏洞而獲得了10萬美元，不過在隨後幾天，此漏洞被另一來自印度的研究人員公佈開採程式並發表於Twitter上。雖然Chromium稍早已針對漏洞作出修補，但由於此修補程式並未整合到以Chromium為核心的瀏覽器，如Chrome、Edge、Brave及Opera，因此這些瀏覽器目前還處在風險當中。

根據Rajvardhan Agarwal在twitter上的截圖，這個PoC攻擊程式包含一個 HTML 和 Javascript 檔案，可以運行於以Chromium為核心的瀏覽器當中，駭入並啟動Windows的計算機，不過這個漏洞的啟動必須與其他漏洞連結，逃脫Chrome的沙盒保護，方可奏效。

Google已針對此漏洞緊急釋出Android版Chrome 90 (90.0.4430.66)版本，但其他平臺版本的修補程式還要再幾周，才會在Google Play Store上架。

參考資料：
https://thehackernews.com/2021/04/rce-exploit-released-for-unpatched.html
https://twitter.com/r4j0x00/status/1381643526010597380
https://www.ithome.com.tw/news/143818