ניצול אפס יום של Chrome הותאם, על המשתמשים לעדכן באופן מיידי

חֲדָשׁוֹת
בִּטָחוֹן / ניצול אפס יום של Chrome הותאם, על המשתמשים לעדכן באופן מיידי

גוגל חושפת גם פגיעות קשורה של Microsoft Windows

קריאה של 2 דקות

גוגל כרום



מומחי אבטחה בגוגל המליצו לכל משתמשי Chrome מיד לעדכן את הדפדפן שלהם, מכיוון שהניצול של אפס יום שכותרתו CVE-2019-5786 תוקן בגרסת 72.0.3626.121 האחרונה.

ניצול של אפס יום הוא פגיעות אבטחה שהאקרים גילו, והבינו כיצד לנצל, לפני שפיתוח אבטחה מסוגל לתקן אותה. מכאן המונח 'יום אפס' - לפיתוח האבטחה היו ממש אפס ימים לסגור את החור.



בתחילה גוגל שתקה בנוגע לפרטים טכניים של פגיעות האבטחה, עד ש' רוב משתמשי Chrome מתעדכנים בתיקון '. זה עשוי היה למנוע נזק נוסף.



עם זאת, גוגל אכן אישרה כי פגיעות האבטחה היא ניצול לשימוש לאחר שימוש ברכיב FileReader בדפדפן. FileReader הוא ממשק API סטנדרטי, המאפשר לאפליקציות אינטרנט לקרוא באופן אסינכרוני את תוכן הקבצים מאוחסן במחשב . גוגל אישרה גם כי פגיעות האבטחה נוצלה על ידי גורמי איומים מקוונים.



בקצרה, פגיעות האבטחה מאפשרת לשחקני האיום לקבל הרשאות בדפדפן הכרום ולהריץ קוד שרירותי מחוץ לארגז החול . האיום משפיע על כל מערכות ההפעלה העיקריות ( Windows, MacOS ו- Linux) .

זה בטח מנצל מאוד רציני, כי אפילו ג'סטין שון, המוביל להנדסת אבטחה ושולחן העבודה של גוגל כרום, נאם בטוויטר.

https://twitter.com/justinschuh/status/1103087046661267456



זה די יוצא דופן שצוות האבטחה מתייחס בפומבי לחורי אבטחה, הם בדרך כלל מדביקים דברים בשקט. לפיכך, הציוץ של ג'סטין מרמז על תחושת דחיפות חזקה לכל המשתמשים לעדכן את Chrome בהקדם.

Steam לא הצליח לסנכרן את הקבצים שלך

לגוגל יש עודכן פרטים נוספים על הפגיעות, ולמעשה הודה כי מדובר בשתי פגיעות נפרדות הממונפות במקביל.

הפגיעות הראשונה הייתה בתוך Chrome עצמו, שהסתמך על ניצול FileReader כפי שפירטנו לעיל.

הפגיעות השנייה הייתה בתוך Microsoft Windows עצמה. זו הייתה הסלמה על הרשאות מקומיות ב- Windows win32k.sys, ויכולה לשמש כבריחה מארגז חול. הפגיעות היא הפרעה של מצביע NULL ב- win32k! MNGetpItemFromIndex כאשר קריאת מערכת NtUserMNDragOver () נקראת בנסיבות ספציפיות.

גוגל ציינה כי הם חשפו את הפגיעות בפני מיקרוסופט, והם חושפים בפומבי את הפגיעות משום שהיא ' פגיעות רצינית ב- Windows שאנחנו יודעים שהיא מנוצלת באופן פעיל בהתקפות ממוקדות ' .

על פי הדיווחים, מיקרוסופט עובדת על תיקון, ומשתמשים מומלץ לשדרג ל- Windows 10 ולהחיל תיקונים ממיקרוסופט ברגע שהם יהיו זמינים.

כיצד לעדכן את גוגל כרום במחשב אישי

בשורת הכתובת של הדפדפן הקלד chrome: // settings / help או לחץ על שלוש הנקודות בפינה השמאלית העליונה ובחר הגדרות כפי שמצוין בתמונה למטה.

לאחר מכן בחר הגדרות (סורגים) מהפינה השמאלית העליונה ובחר אודות Chrome.

ברגע שבקטע 'מידע כללי', גוגל תבדוק אוטומטית אם קיימים עדכונים, ואם יש עדכון זמין, גוגל תודיע על כך.

תגים כרום גוגל מיקרוסופט בִּטָחוֹן