Google također otkriva povezanu ranjivost sustava Microsoft Windows
2 minute čitanja
Google Chrome
Googleovi stručnjaci za sigurnost preporučili su svim korisnicima Chromea odmah ažurirajte svoj preglednik, jer je eksploacija nultih dana s oznakom CVE-2019-5786 zakrpana u najnovijoj verziji 72.0.3626.121.
Ekploatacija nultog dana sigurnosna je ranjivost koju su hakeri otkrili i smislili kako je iskoristiti prije nego što je razvoj sigurnosti uspije zakrpati. Stoga je pojam 'nulti dan' - razvoj sigurnosti doslovno imao nula dana da se rupa zatvori.
Google je u početku šutio o tehničkim detaljima sigurnosne ranjivosti, sve dok “ većina korisnika Chromea ažurirana je ispravkom ”. To bi vjerojatno moglo spriječiti daljnju štetu.
Međutim, Google je potvrdio da je sigurnosna ranjivost iskorištavanje bez upotrebe u komponenti FileReader preglednika. FileReader je standardni API koji web aplikacijama omogućuje asinkrono čitanje sadržaja datoteka pohranjene na računalu . Google je također potvrdio da su sigurnosnu ranjivost iskoristili internetski akteri prijetnji.
Ukratko, sigurnosna ranjivost omogućuje akterima prijetnje stjecanje privilegija u pregledniku Chrome i pokretanje proizvoljnog koda izvan pješčanika . Prijetnja utječe na sve glavne operativne sustave ( Windows, macOS i Linux) .
To mora biti vrlo ozbiljno iskorištavanje, jer se čak i Justin Schun, voditelj sigurnosti i radne površine za Google Chrome, oglasio na Twitteru.
https://twitter.com/justinschuh/status/1103087046661267456
Prilično je neobično da sigurnosni tim javno rješava sigurnosne rupe, oni obično tiho krpaju stvari. Stoga je Justinov tweet implicirao snažan osjećaj hitnosti za sve korisnike da što prije ažuriraju Chrome.
Google je ažurirao više detalja o ranjivosti, i zapravo je priznao da su dvije odvojene ranjivosti iskorištene u tandemu.
Prva ranjivost bila je u samom Chromeu, koji se oslanjao na FileReader exploit kao što smo gore opisali.
Druga ranjivost bila je u samom sustavu Microsoft Windows. Bila je to lokalna eskalacija privilegija u sustavu Windows win32k.sys i mogla bi se koristiti kao sigurnosni sigurnosni prozor. Ranjivost je preusmjeravanje NULL pokazivača u win32k! MNGetpItemFromIndex kada se sistemski poziv NtUserMNDragOver () poziva u određenim okolnostima.
Google je primijetio da su Microsoftu otkrili ranjivost i javno je otkrivaju jer je ' ozbiljna ranjivost u sustavu Windows za koju znamo da se aktivno koristi u ciljanim napadima ' .
Microsoft navodno radi na popravku, a korisnicima se preporučuje nadogradnja na Windows 10 i primjena Microsoftovih zakrpa čim postanu dostupne.
Kako ažurirati Google Chrome na računalu
U adresnu traku preglednika upišite chrome: // settings / help ili kliknite tri točke u gornjem desnom kutu i odaberite Postavke kao što je prikazano na donjoj slici. 
Zatim odaberite Postavke (trake) u gornjem lijevom kutu i odaberite O Chromeu.
Kad uđe u odjeljak O usluzi, Google će automatski provjeriti ima li ažuriranja, a ako postoji dostupno ažuriranje, Google će vas obavijestiti.
