Google dezvăluie, de asemenea, vulnerabilitatea Microsoft Windows
2 minute citite
Google Chrome
Experții în securitate de la Google au recomandat tuturor utilizatorilor Chrome imediat actualizați browserul, deoarece exploatarea zero-day etichetată CVE-2019-5786 a fost corecționată în cea mai recentă versiune 72.0.3626.121.
O exploatare de zero zile este o vulnerabilitate de securitate pe care hackerii au descoperit-o și au aflat cum să o exploateze, înainte ca dezvoltarea securității să o poată repara. De aici termenul „zi zero” - dezvoltarea securității a avut literalmente zero zile pentru a închide gaura.
Google a păstrat inițial tăcerea cu privire la detaliile tehnice ale vulnerabilității de securitate, până când „ majoritatea utilizatorilor Chrome sunt actualizați cu remedierea ”. Acest lucru ar fi putut preveni daune suplimentare.
Cu toate acestea, Google a confirmat că vulnerabilitatea de securitate este o exploatare după utilizare gratuită în componenta FileReader a browserului. FileReader este un API standard, care permite aplicațiilor web să citească în mod asincron conținutul fișierelor stocate pe un computer . Google a confirmat, de asemenea, că vulnerabilitatea de securitate a fost exploatată de actorii de amenințare online.
Pe scurt, vulnerabilitatea de securitate permite actorilor de amenințare să obțină privilegii în browserul Chrome și să ruleze cod arbitrar în afara cutiei de nisip . Amenințarea afectează toate sistemele de operare majore ( Windows, MacOS și Linux) .
Trebuie să fie un exploit foarte serios, deoarece chiar și Justin Schun, liderul inginerie securitate și desktop pentru Google Chrome, a vorbit pe Twitter.
https://twitter.com/justinschuh/status/1103087046661267456
Este destul de neobișnuit ca echipa de securitate să abordeze în mod public găurile de securitate, de obicei repară lucrurile în tăcere. Astfel, tweet-ul lui Justin a implicat un puternic sentiment de urgență pentru toți utilizatorii să actualizeze Chrome cât mai curând posibil.
Google are actualizat mai multe detalii despre vulnerabilitate și, de fapt, a recunoscut că erau două vulnerabilități separate care erau pârghiate în tandem.
Prima vulnerabilitate a fost în sine în Chrome, care s-a bazat pe exploatarea FileReader așa cum am detaliat mai sus.
A doua vulnerabilitate a fost în cadrul Microsoft Windows. A fost o escaladare de privilegii locală în Windows win32k.sys și ar putea fi utilizată ca o evadare de securitate. Vulnerabilitatea este o dereferință a indicatorului NULL în win32k! MNGetpItemFromIndex atunci când apelul de sistem NtUserMNDragOver () este apelat în circumstanțe specifice.
Google a menționat că a dezvăluit vulnerabilitatea către Microsoft și dezvăluie în mod public vulnerabilitatea, deoarece este „ o vulnerabilitate serioasă în Windows despre care știm că a fost exploatată activ în atacuri vizate ” .
Se pare că Microsoft lucrează la o remediere și se recomandă utilizatorilor să facă upgrade la Windows 10 și să aplice patch-uri de la Microsoft de îndată ce devin disponibile.
Cum se actualizează Google Chrome pe un computer
În bara de adrese a browserului tastați chrome: // settings / help sau faceți clic pe cele trei puncte din dreapta sus și alegeți Setări așa cum este indicat în imaginea de mai jos. 
Apoi alegeți Setări (bare) din colțul din stânga sus și alegeți Despre Chrome.
Odată ajuns în secțiunea Despre, Google va verifica automat dacă există actualizări și, dacă există o actualizare disponibilă, Google vă va notifica.
