„Google“ taip pat atskleidžia susijusį „Microsoft Windows“ pažeidžiamumą
2 minutės perskaityta
„Google Chrome“
„Google“ saugos ekspertai rekomendavo visiems „Chrome“ vartotojams nedelsiant atnaujinkite savo naršyklę, nes nulinės dienos išnaudojimas, pažymėtas CVE-2019-5786, buvo pataisytas naujausioje 72.0.3626.121 versijoje.
Nulio dienos išnaudojimas yra saugos pažeidžiamumas, kurį įsilaužėliai atrado ir išsiaiškino, kaip jį išnaudoti, kol saugumo plėtotė nespės jo užtaisyti. Taigi terminas „nulis dienos“ - saugumo plėtra tiesiogine prasme turėjo nulį dienų, kad uždarytų skylę.
Iš pradžių „Google“ nutylėjo technines saugumo pažeidžiamumo detales, kol „ daugumai „Chrome“ naudotojų pataisymas atnaujinamas “. Tai galėjo užkirsti kelią tolesnei žalai.
Tačiau „Google“ patvirtino, kad saugos pažeidžiamumas yra naudojimasis po naudojimo nemokamu naršyklės komponente „FileReader“. „FileReader“ yra standartinė API, leidžianti žiniatinklio programoms asinchroniškai skaityti failų turinį saugomi kompiuteryje . „Google“ taip pat patvirtino, kad grėsmių internete veikėjai išnaudojo saugumo pažeidžiamumą.
Trumpai tariant, saugos pažeidžiamumas leidžia grėsmės dalyviams įgyti privilegijas „Chrome“ naršyklėje ir paleisti savavališką kodą už smėlio dėžės ribų . Grėsmė veikia visas pagrindines operacines sistemas ( „Windows“, „MacOS“ ir „Linux“) .
Tai turi būti labai rimtas išnaudojimas, nes net „Justin Schun“, „Google Chrome“ saugos ir darbalaukio inžinerijos vadovas, pasisakė „Twitter“.
https://twitter.com/justinschuh/status/1103087046661267456
Apsaugos komandai yra gana neįprasta viešai spręsti saugumo spragas, jie paprastai tyliai užtaiso daiktus. Taigi Justino tweetas reiškė, kad visiems vartotojams reikia skubiai atnaujinti „Chrome“.
„Google“ turi atnaujino daugiau informacijos apie pažeidžiamumą ir iš tikrųjų pripažino, kad tai buvo du atskiri pažeidimai, kurie buvo panaudoti kartu.
Pirmasis pažeidžiamumas buvo pačioje „Chrome“, kuris rėmėsi „FileReader“ išnaudojimu, kaip aprašėme aukščiau.
Antrasis pažeidžiamumas buvo pačioje „Microsoft Windows“. Tai buvo vietinių privilegijų eskalavimas sistemoje „Windows win32k.sys“ ir gali būti naudojama kaip saugos smėlio dėžės pabėgimas. Pažeidžiamumas yra NULL žymeklio nukrypimas Win32k! MNGetpItemFromIndex, kai tam tikromis aplinkybėmis iškviečiamas sistemos iškvietimas NtUserMNDragOver ().
„Google“ pažymėjo, kad jie atskleidė „Microsoft“ pažeidžiamumą ir viešai skelbia pažeidžiamumą, nes jis yra „ rimtas „Windows“ pažeidžiamumas, kuris, kaip žinome, buvo aktyviai naudojamas taikant atakas “ .
Pranešama, kad „Microsoft“ dirba su taisymu, todėl vartotojams rekomenduojama atnaujinti į „Windows 10“ ir pritaikyti „Microsoft“ pleistrus, kai tik jie bus prieinami.
Kaip atnaujinti „Google Chrome“ kompiuteryje
Naršyklės tipo adreso juostoje įveskite chrome: // settings / help arba spustelėkite tris taškus viršuje dešinėje ir pasirinkite Nustatymai, kaip nurodyta toliau pateiktame paveikslėlyje. 
Tada viršutiniame kairiajame kampe pasirinkite Nustatymai (juostos) ir pasirinkite Apie „Chrome“.
Patekęs į skiltį „Apie“, „Google“ automatiškai patikrins, ar nėra naujinių, o jei yra naujinių, „Google“ apie tai praneš.
