Ielādēts Chrome nulles dienas izmantojums, lietotājiem tas ir jāatjaunina nekavējoties

Jaunumi
Drošība / Ielādēts Chrome nulles dienas izmantojums, lietotājiem tas ir jāatjaunina nekavējoties

Google atklāj arī saistīto Microsoft Windows ievainojamību

2 minūtes lasīts

Google Chrome



Google drošības eksperti ir ieteikuši visiem Chrome lietotājiem nekavējoties atjauniniet savu pārlūkprogrammu, jo nulles dienas izmantošana ar apzīmējumu CVE-2019-5786 ir ielāpīta jaunākajā 72.0.3626.121 versijā.

Nulles dienas izmantošana ir drošības ievainojamība, kuru hakeri ir atklājuši un izdomājuši, kā to izmantot, pirms drošības attīstība to spēs aizlāpīt. Līdz ar to termins “nulle diena” - drošības attīstībai burtiski bija nulle dienu, lai aizvērtu robu.



Sākotnēji Google klusēja par drošības ievainojamības tehnisko informāciju, līdz “ labojums tiek atjaunināts lielākajai daļai Chrome lietotāju ”. Tas, visticamāk, novērsīs turpmāku kaitējumu.



Tomēr Google apstiprināja, ka drošības ievainojamība ir pārlūka FileReader komponenta izmantošana bez izmantošanas. FileReader ir standarta API, kas ļauj tīmekļa lietotnēm asinhroni nolasīt failu saturu glabājas datorā . Google arī apstiprināja, ka drošības apdraudējumu ir izmantojuši tiešsaistes draudu dalībnieki.



Īsumā runājot, drošības ievainojamība ļauj draudu dalībniekiem iegūt privilēģijas pārlūkā Chrome un palaist patvaļīgu kodu ārpus smilšu kastes . Draudi ietekmē visas galvenās operētājsistēmas ( Windows, macOS un Linux) .

Tam jābūt ļoti nopietnam izmantojumam, jo ​​pat Džastins Šūns, Google Chrome drošības un darbvirsmas inženierzinātņu vadītājs, izteicās Twitter.

https://twitter.com/justinschuh/status/1103087046661267456



Drošības komandai ir diezgan neparasti publiski pievērsties drošības caurumiem, viņi parasti klusējot lāpa lietas. Tādējādi Džastina tvīts nozīmēja, ka visiem lietotājiem ir steidzami jāatjaunina pārlūks Chrome.

steam nevarēja sinhronizēt jūsu failus

Google ir atjaunināja sīkāku informāciju par ievainojamību un faktiski atzina, ka tās ir divas atsevišķas ievainojamības, kas tiek izmantotas tandēmā.

Pirmā ievainojamība bija pašā Chrome, kas balstījās uz FileReader izmantošanu, kā mēs detalizēti aprakstījām iepriekš.

Otra ievainojamība bija pašā Microsoft Windows. Tas bija vietējo privilēģiju eskalācija sistēmā Windows win32k.sys, un to varēja izmantot kā drošības smilškastes aizbēgšanu. Ievainojamība ir NULL rādītāja novirzīšana win32k! MNGetpItemFromIndex, kad īpašos apstākļos tiek izsaukts sistēmas NtUserMNDragOver () izsaukums.

Google atzīmēja, ka viņi ir atklājuši Microsoft ievainojamību un publiski atklāj ievainojamību, jo tā ir “ nopietna Windows ievainojamība, kas, kā mēs zinām, tika aktīvi izmantota mērķtiecīgos uzbrukumos ” .

Tiek ziņots, ka korporācija Microsoft strādā pie labojuma, un lietotājiem ieteicams jaunināt uz Windows 10 un lietot Microsoft ielāpus, tiklīdz tie kļūst pieejami.

Kā atjaunināt Google Chrome datorā

Pārlūkprogrammas adreses joslā ierakstiet chrome: // settings / help vai noklikšķiniet uz trim punktiem augšējā labajā stūrī un izvēlieties Iestatījumi, kā norādīts zemāk esošajā attēlā.

Pēc tam augšējā kreisajā stūrī izvēlieties Iestatījumi (joslas) un izvēlieties Par Chrome.

Kad esat nonācis sadaļā Par, Google automātiski pārbaudīs, vai nav atjauninājumu, un, ja ir pieejams atjauninājums, Google jums par to paziņos.

Tagi Chrome google Microsoft Drošība