Google també revela la vulnerabilitat de Microsoft Windows relacionada
2 minuts de lectura
Google Chrome
Els experts en seguretat de Google han recomanat a tots els usuaris de Chrome immediatament actualitzeu el navegador, ja que l'explotació de zero dies etiquetada com CVE-2019-5786 s'ha actualitzat a la darrera versió 72.0.3626.121.
Un exploit de dia zero és una vulnerabilitat de seguretat que els pirates informàtics han descobert i han descobert com explotar abans que el desenvolupament de seguretat sigui capaç de corregir-lo. D'aquí el terme 'dia zero': el desenvolupament de la seguretat tenia literalment zero dies per tancar el forat.
Google va estar inicialment en silenci sobre els detalls tècnics de la vulnerabilitat de seguretat, fins que ' la majoria dels usuaris de Chrome s'actualitzen amb la solució '. És probable que això evités danys addicionals.
Tanmateix, Google va confirmar que la vulnerabilitat de seguretat és un exploit després de l'ús lliure al component FileReader del navegador. FileReader és una API estàndard que permet a les aplicacions web llegir de manera asíncrona el contingut dels fitxers emmagatzemats en un ordinador . Google també va confirmar que la vulnerabilitat de seguretat ha estat explotada pels actors de les amenaces en línia.
En poques paraules, la vulnerabilitat de seguretat permet als actors amenaçadors obtenir privilegis al navegador Chrome i executar codi arbitrari fora de la caixa de sorra . L'amenaça afecta tots els sistemes operatius principals ( Windows, macOS i Linux) .
Ha de ser una explotació molt seriosa, perquè fins i tot Justin Schun, el responsable d’enginyeria de seguretat i escriptori de Google Chrome, va parlar a Twitter.
https://twitter.com/justinschuh/status/1103087046661267456
És bastant inusual que l’equip de seguretat s’encarregui públicament dels forats de seguretat, normalment solen reparar les coses en silenci. Per tant, el tuit de Justin implicava una forta sensació d’urgència per a tots els usuaris per actualitzar Chrome el més aviat possible.
Google ho ha fet actualitzat més detalls sobre la vulnerabilitat i, de fet, va reconèixer que es tractava de dues vulnerabilitats separades que s’aprofitaven de forma conjunta.
La primera vulnerabilitat va ser dins del propi Chrome, que es basava en l'explotació de FileReader tal com hem detallat anteriorment.
La segona vulnerabilitat es trobava dins del propi Microsoft Windows. Va ser una escalada de privilegis local al Windows win32k.sys, i es va poder utilitzar com a sortida de seguretat de seguretat. La vulnerabilitat és una desferència del punter NULL a win32k! MNGetpItemFromIndex quan es fa una crida al sistema NtUserMNDragOver () en circumstàncies específiques.
Google va assenyalar que van revelar la vulnerabilitat a Microsoft i que la van revelar públicament perquè és ' una greu vulnerabilitat a Windows que sabem que estava sent explotada activament en atacs específics ” .
Segons els informes, Microsoft està treballant en una solució i es recomana als usuaris que actualitzin a Windows 10 i apliquin pegats de Microsoft tan aviat com estiguin disponibles.
Com actualitzar Google Chrome en un PC
A la barra d’adreces del navegador, escriviu chrome: // settings / help o feu clic als tres punts de la part superior dreta i trieu Configuració tal com s’indica a la imatge següent. 
A continuació, trieu Configuració (barres) a l'extrem superior esquerre i trieu Quant a Chrome.
Un cop a la secció Informació, Google comprovarà automàticament si hi ha actualitzacions i, si hi ha alguna actualització disponible, Google us ho notificarà.
