Google повідомила, що оновлення для Chrome, що вийшло минулого тижня, містило виправлення для zero-day, якою вже встигли скористатися хакери.
У хакерських атаках була задіяна вразливість системи безпеки CVE-2019-5786, експлуатуюча помилку управління пам’яттю інструменту FileReader, який дозволяє веб-додаткам зчитувати вміст файлів, що зберігаються на пристрої користувача. Неправильна обробка цього доступу до пам’яті призводить до виконання шкідливого коду.
За словами Чаук Бекрар з Zerodium, CVE-2019-5786 дозволяє шкідливому коду виходити з ізольованою програмного середовища безпеки Chrome і запускати команди на операційній системі.
Google discovered a Chrome RCE #0day in the wild (CVE-2019-5786). Reportedly, a full chain with a sandbox escape: https://t.co/Nxfrvr5wIh
In 2019, I expect epic 0days to be found in the wild: Android, iOS, Windows, Office, virtualization, and more. Stay safe and enjoy the show.
— Chaouki Bekrar (@cBekrar) March 6, 2019
Минулого місяця інженер з Microsoft Метт Міллер, виступаючи на конференції з безпеки в Ізраїлі, повідомив, що 70 відсотків усіх вразливостей, які Microsoft виправляє щороку – це помилки в роботі з пам’яттю. Вони схожі на ту, яку команда розробників Chrome виправила минулого тижня.
Користувачам браузера Chrome рекомендується перевірити наявність встановленого поновлення під номером 72.0.3626.121. Для цього відкрийте Меню > Довідка > Про браузері Google Chrome , після чого запуститься автоматична перевірка оновлень.