Google razkriva tudi s tem povezano ranljivost sistema Microsoft Windows
2 minuti branja
Google Chrome
Googlovi strokovnjaki za varnost so vsem uporabnikom Chroma priporočili takoj posodobite svoj brskalnik, saj je bil nič-day exploit z oznako CVE-2019-5786 popravljen v najnovejši različici 72.0.3626.121.
Izkoriščanje ničelnega dne je varnostna ranljivost, ki so jo hekerji odkrili in ugotovili, kako jo izkoristiti, preden jo razvoj varnosti lahko popravi. Od tod izraz 'nič dan' - razvoj varnosti je imel dobesedno nič dni, da je luknjo zapolnil.
Google je sprva molčal o tehničnih podrobnostih varnostne ranljivosti, dokler » večina uporabnikov Chroma je posodobljena s popravkom. ' To bi verjetno preprečilo nadaljnjo škodo.
Vendar je Google potrdil, da je varnostna ranljivost izkoriščanje v komponenti FileReader v brskalniku, ki se ne uporablja. FileReader je standardni API, ki spletnim aplikacijam omogoča asinhrono branje vsebine datotek shranjene v računalniku . Google je tudi potrdil, da so varnostno ranljivost izkoriščali spletni akterji groženj.
Na kratko, varnostna ranljivost omogoča akterjem groženj, da pridobijo privilegije v brskalniku Chrome in zaženejo poljubno kodo zunaj peskovnika . Nevarnost vpliva na vse večje operacijske sisteme ( Windows, macOS in Linux) .
To mora biti zelo resen podvig, saj se je na Twitterju oglasil celo Justin Schun, vodja za varnost in namizje za Google Chrome.
https://twitter.com/justinschuh/status/1103087046661267456
Nenavadno je, da varnostna skupina javno obravnava varnostne luknje, običajno stvari tiho zakrpajo. Justinov tvit je tako vsem uporabnikom pomenil močan občutek nujnosti, da čim prej posodobijo Chrome.
Google je je posodobil več podrobnosti o ranljivosti in dejansko priznal, da sta dve ločeni ranljivosti izkoristili v tandemu.
Prva ranljivost je bila v samem Chromu, ki se je opiral na FileReader, kot smo podrobno opisali zgoraj.
Druga ranljivost je bila znotraj samega sistema Microsoft Windows. Šlo je za lokalno stopnjevanje privilegij v operacijskem sistemu Windows win32k.sys in ga je bilo mogoče uporabiti kot varnostni pobeg v peskovniku. Ranljivost je dereferenca kazalca NULL v win32k! MNGetpItemFromIndex, ko je v posebnih okoliščinah poklican sistemski klic NtUserMNDragOver ().
Google je opozoril, da so Microsoftu razkrili ranljivost in jo javno razkrivajo, ker je » resna ranljivost sistema Windows, za katero vemo, da jo aktivno izkoriščajo v usmerjenih napadih ' .
Microsoft naj bi delal na popravku, uporabnikom pa priporočamo, da nadgradijo na Windows 10 in Microsoftove popravke uporabijo takoj, ko postanejo na voljo.
Kako posodobiti Google Chrome v računalniku
V naslovno vrstico brskalnika vnesite chrome: // settings / help ali kliknite tri pike zgoraj desno in izberite Settings, kot je prikazano na spodnji sliki. 
Nato v zgornjem levem kotu izberite Nastavitve (stolpci) in izberite O Chromu.
Ko pride v razdelek Vizitka, bo Google samodejno preveril, ali so na voljo posodobitve, in če bo na voljo posodobitev, vas bo obvestil.
