Эксплойт нулевого дня Chrome исправлен, пользователи должны немедленно обновить его

Безопасность / Эксплойт нулевого дня Chrome исправлен, пользователи должны немедленно обновить его

Google также раскрывает связанную уязвимость Microsoft Windows.

2 минуты чтения

Гугл Хром



Эксперты по безопасности в Google рекомендовали всем пользователям Chrome немедленно обновите свой браузер, поскольку эксплойт нулевого дня, обозначенный как CVE-2019-5786, был исправлен в последней версии 72.0.3626.121.

Эксплойт нулевого дня - это уязвимость системы безопасности, которую хакеры обнаружили и придумали, как ее использовать, прежде чем разработчики системы безопасности смогут ее исправить. Отсюда и термин «нулевой день» - разработка системы безопасности буквально имела нулевые дни, чтобы закрыть брешь.



Изначально Google не раскрывала технических подробностей уязвимости системы безопасности, пока « большинство пользователей Chrome обновили это исправление ». Это могло предотвратить дальнейшие повреждения.



Тем не менее, Google подтвердил, что уязвимость системы безопасности - это эксплойт использования после освобождения в компоненте FileReader браузера. FileReader - это стандартный API, который позволяет веб-приложениям асинхронно читать содержимое файлов. хранится на компьютере . Google также подтвердил, что уязвимость системы безопасности была использована злоумышленниками в Интернете.



Вкратце, уязвимость системы безопасности позволяет злоумышленникам получать привилегии в браузере Chrome и запускать произвольный код. вне песочницы . Угроза затрагивает все основные операционные системы ( Windows, macOS и Linux) .

Это должен быть очень серьезный эксплойт, потому что даже Джастин Шун, руководитель отдела разработки безопасности и настольных систем Google Chrome, высказался в Twitter.

https://twitter.com/justinschuh/status/1103087046661267456



Для группы безопасности довольно необычно публично устранять дыры в безопасности, они обычно молча исправляют ошибки. Таким образом, твит Джастина подразумевал, что всем пользователям необходимо как можно скорее обновить Chrome.

Google имеет обновлено больше деталей об уязвимости, и фактически признал, что это две отдельные уязвимости, используемые в тандеме.

Первая уязвимость была в самом Chrome, который использовал эксплойт FileReader, как мы подробно описали выше.

Вторая уязвимость была в самой Microsoft Windows. Это была локальная эскалация привилегий в Windows win32k.sys, и ее можно было использовать как выход из песочницы безопасности. Уязвимость заключается в разыменовании указателя NULL в win32k! MNGetpItemFromIndex, когда системный вызов NtUserMNDragOver () вызывается при определенных обстоятельствах.

Google отметил, что они раскрыли уязвимость Microsoft, и публично раскрывают уязвимость, потому что это « серьезная уязвимость в Windows, которая, как мы знаем, активно использовалась в целевых атаках » .

Сообщается, что Microsoft работает над исправлением, и пользователям рекомендуется выполнить обновление до Windows 10 и применить исправления от Microsoft, как только они станут доступны.

Как обновить Google Chrome на ПК

В адресной строке браузера введите chrome: // settings / help или щелкните три точки в правом верхнем углу и выберите «Настройки», как показано на изображении ниже.

Затем выберите «Настройки» (панели) в верхнем левом углу и выберите «О Chrome».

В разделе «О нас» Google автоматически проверит наличие обновлений, и, если они доступны, Google уведомит вас.

Теги Хром гугл Microsoft Безопасность