Google съобщи, че обновяването на Chrome, излязло миналата седмица, оправя уязвимост от типа нулев ден, от която хакерите масово се възползват.
В хакерските атаки се използва уязвимостта, класифицирана като CVE-2019-578, даваща възможност да се използва грешка, допусната в управлението на паметта от софтуерният модул FileReader. Тя дава възможност на уеб приложенията да четат съдържанието на файловете, записани в дисковете на потребителите. Неправилната обработка на достъпа до паметта дава възможност за изпълнението на произволен вредоносен код.
Google discovered a Chrome RCE #0day in the wild (CVE-2019-5786). Reportedly, a full chain with a sandbox escape: https://t.co/Nxfrvr5wIh
In 2019, I expect epic 0days to be found in the wild: Android, iOS, Windows, Office, virtualization, and more. Stay safe and enjoy the show.
— Chaouki Bekrar (@cBekrar) March 6, 2019
Чеки Бъркър от Zerodium сподели, че CVE-2019-5786 дава възможност на вредоносния код да излиза извън изолираната среда на браузъра Chrome (пясъчника) и да се стартират различните команди на операционната система.
Уязвимостта е от типа use-after-free и дава възможност на атакуващия да изпълни произволен код. В зависимост от привилегиите, хакерът може да инсталира приложения, да подменя и/или изтрива данни, да създава нови акаунти. За осъществяването на атаката е достатъчно еднократното посещение на специално направен уеб сайт, след което не се налага взаимодействие с потребителя.
Популярният уеб портал ZDNet препоръча спешно да бъде инсталиран Chrome версия 72.0.3626.121. Проверката на версията на браузъра може да стане от Менюто -> Помощ -> всичко за Google Chrome, откъдето може да се стартира автоматичната проверка за обновявания (само в ОС Windows).
