Google исправляет ошибку нулевого дня в Chrome при активных атаках

Обновление Chrome 72.0.3626.121 теперь доступно для Windows, Mac и Linux

Особенности

  • О недостатке нулевого дня сообщила Клемент Лечин из Google
  • Были сообщения о том, что злоумышленники использовали уязвимость в дикой природе
  • Считается, что ошибка заключается в ошибке управления памятью в FileReader API

Google объявил, что обновление, выпущенное для стабильного канала Chrome. версия 72.0.3626.121. на прошлой неделе фактически было патчем для ошибки нулевого дня, которая используется в дикой природе. В первоначальном журнале изменений компании преднамеренно отсутствовала какая-либо информация об уязвимости, поскольку компания ожидала, когда пользователи установят обновление. Во вторник в пересмотренном объявлении компания отметила, что обновление Chrome 72.0.3626.121 включает исправление для высокоприоритетной уязвимости CVE-2019-5786, о которой Клемент Лечин из Группы анализа угроз Google сообщил в конце февраля.

«Google знает о сообщениях о том, что эксплойт для CVE-2019-5786 существует в дикой природе»,. написал Абдул Сайед из команды Google Chrome в своем блоге. «Мы также хотели бы поблагодарить всех исследователей в области безопасности, которые работали с нами на протяжении всего цикла разработки, для предотвращения попадания ошибок безопасности в стабильный канал».

Согласно сообщению об угрозе, уязвимость CVE-2019-5786 существует из-за условия «использование после освобождения» в Google Chrome FileReader, который представляет собой API, который позволяет веб-приложениям получать доступ к файлам, хранящимся на вашем компьютере. Говорят, что в основном эта уязвимость позволяет вредоносному коду выходить из изолированной программной среды безопасности Chrome, позволяя злоумышленнику запускать вредоносный код на компьютере жертвы. В зависимости от привилегий, предоставленных Chrome, злоумышленник может устанавливать программы; просматривать, изменять или удалять данные; или создать новые учетные записи.

Всем пользователям рекомендуется немедленно обновить веб-браузер Chrome на своем компьютере и убедиться, что они запускают Chrome без прав администратора.

Утверждается, что оценка риска уязвимости является высокой для государственных учреждений и предприятий, тогда как риск использования уязвимости злоумышленником для домашних пользователей является низким.

Смотрите так же

Google преуменьшает количество потенциально опасны... В новом отчете, посвященном 2018 году, в год, когда Google отпраздновал 10-ю годовщину запуска первого коммерческого устройства Android, поисковый гиг...
Полный список команд Google Home и Google Assistan... Возможности Google Assistant постоянно растут и растут. Google хочет, чтобы его голосовой помощник на основе искусственного интеллекта распространилс...
Google Google предлагает минимальную заработную пл... САН-ФРАНЦИСКО: Google заявил, что компаниям, с которыми она работает, потребуется платить сотрудникам не менее 15 долларов в час и предоставлять им ме...