Chrome OS работает с телефонами Android, например MacOS работает с iPhone
Разработчики веб-браузера Google Chrome выпустили экстренное обновление на Хэллоуин. Обновление предназначено для всех стабильных версий популярного веб-браузера на всех платформах, что является четким индикатором серьезности обновления. По всей видимости, обновление безопасности призвано устранить не одну, а две уязвимости. Что еще беспокоит, так это то, что один из недостатков безопасности имеет эксплойт нулевого дня уже в дикой природе .
Kaspersky Exploit Prevention, активный компонент обнаружения угроз в продуктах Kaspersky, обнаружил новый неизвестный эксплойт для браузера Google Chrome. Команда сообщила о своих выводах команде безопасности Google Chrome и также включила Proof of Concept (PoC). После беглого обзора компания Google убедилась в том, что в браузере Google Chrome действительно существует активная уязвимость нулевого дня. После того, как проблема стала наивысшим приоритетом, Google выпустил экстренное обновление для веб-браузера. Уязвимость системы безопасности помечена как «High Severity 0-Day Exploit» и затрагивает все различные варианты браузера Chrome во всех операционных системах.
Kaspersky обнаруживает уязвимость 0-Day Exploit.Win32.Generic, которая затрагивает все версии браузера Google Chrome:
На Хэллоуин компания Google подтвердила, что настольный браузер Chrome «стабильного канала» обновляется до версии 78.0.3904.87 для платформ Windows, Mac и Linux. В отличие от обновлений, развертывание которых начинается постепенно, последнее обновление должно иметь довольно ускоренное развертывание. Следовательно, очень важно, чтобы пользователи браузера Chrome без промедления установили последнее обновление. В довольно загадочном сообщении Google выпустил уведомление, в котором говорилось:
«Доступ к сведениям об ошибках и ссылкам может быть ограничен до тех пор, пока большинство пользователей не обновят исправление. Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой также зависят другие проекты, но еще не исправленная ».
0-дневное предупреждение! #Google предупреждает Windows, Mac, #Linux пользователям обновить свои #Хром браузер (до 78.0.3904.87) сразу из-за уязвимости безопасности (CVE-2019-13720), которую злоумышленники активно используют в дикой природе для захвата компьютеров. https://t.co/tw7Msba4kb #infosec pic.twitter.com/QJj7ojqEDU
- Новости хакеров (@TheHackersNews) 1 ноября 2019 г.
В то время как Google довольно непоследовательно относится к уязвимостям безопасности в Chrome, Касперский неофициально назвал атаку «Operation WizardOpium». Технически атака - это Exploit.Win32.Generic. Производитель антивируса, брандмауэра и других продуктов для сетевой безопасности все еще изучает потенциал атаки и личности киберпреступников, которые могли запустить атаку. Команда утверждает, что некоторые из кодовых медведей некоторое сходство с атаками Лазаря , но ничего не выяснено.
По словам Касперского, атака, похоже, добывает как можно больше данных путем загрузки вредоносного скрипта профилирования. По всей видимости, уязвимость 0-Day использовалась для внедрения вредоносного кода JavaScript. Атака довольно изощренная, поскольку выполняет ряд проверок, чтобы убедиться, что система может быть заражена или что она уязвима . Только после квалификационных проверок атака переходит к получению истинной полезной нагрузки и ее развертыванию.
Google подтверждает экстренное обновление Chrome Zero-Day Exploit для противодействия угрозе:
Google отметил, что эксплойт в настоящее время существует в дикой природе . Компания добавила, что эксплойт предназначен для уязвимости CVE-2019-13720. Кстати, есть еще одна уязвимость системы безопасности, которая официально помечена как CVE-2019-13721. Обе уязвимости безопасности представляют собой уязвимости «использование после освобождения», которые используют повреждение памяти для повышения привилегий в атакуемой системе. Судя по всему, CVE-2019-13720 уязвимость безопасности эксплуатируется в дикой природе . Сообщается, что это влияет на аудиокомпонент веб-браузера Chrome.
Эрик @DonutsInc указал на уязвимость в Chrome. Простое закрытие и повторное открытие браузера автоматически проверит наличие необходимых обновлений и установит их. https://t.co/4NKJXfdGxw
— name.com (@namedotcom) 1 ноября 2019 г.
Признавая обе угрозы безопасности, Google выпустил экстренное обновление для браузера Chrome, но в настоящее время обновление, похоже, ограничено стабильным каналом. Сообщается, что обновление содержит только исправление ошибок. «Лаборатория Касперского» активно занимается исследованием риска угрозы, но не сразу понятно, кто мог воспользоваться уязвимостью нулевого дня.
Теги Хром гугл
