Google onthulde gisteren dat er een patch voor Chrome afgelopen week was eigenlijk een fix voor een zero-day dat was onder actieve aanvallen.
De aanslagen misbruikt CVE-2019-5786 nl, een lek en de enige patch opgenomen in de Chrome 72.0.3626.121 versie, uitgebracht afgelopen vrijdag, Maart 1, 2019.
Volgens een update van de oorspronkelijke aankondiging en een tweet van Google Chrome security leiden, de gerepareerde bug was onder actieve aanvallen op het moment van de patch.
Google beschreef het lek als een memory management wordt weergegeven in Google Chrome FileReader –een web API opgenomen in alle belangrijke browsers waarmee web apps het lezen van de inhoud van bestanden die zijn opgeslagen op de computer van de gebruiker.
Meer specifiek, de bug is een use-after-free-kwetsbaarheid, een type geheugen fout dat gebeurt wanneer een toepassing probeert toegang te krijgen tot het geheugen nadat het is vrijgegeven./verwijderd uit Chrome ‘ s van het toegewezen geheugen. Een onjuiste verwerking van dit type geheugen toegang werking kan leiden tot de uitvoering van kwaadaardige code.
Volgens Chaouki Bekrar, CEO van exploiteren verkoper Zerodium, de CVE-2019-5786 nl kwetsbaarheid naar verluidt kunnen kwaadwillende code te ontsnappen Chrome security sandbox en uitvoeren van opdrachten op het onderliggende OS.
Google ontdekt dat er een Chrome RCE #0day in het wild (CVE-2019-5786 nl). Naar verluidt, een volledige keten met een sandbox te ontsnappen: https://t.co/Nxfrvr5wIh
In 2019, ik verwacht epische 0days worden gevonden in het wild: Android, iOS, Windows, Office, virtualisatie en nog veel meer. Een veilig verblijf en geniet van de show.
— Chaouki Bekrar (@cBekrar) 6 Maart 2019
Naast het onthullen van de exploitatie pogingen, de browser maker gaf ook de kredietverlening aan de security-onderzoeker die ontdekte dat de bug –Clement Lecigne van Google Threat Analysis Group.
Vorige maand, spreken op een beveiliging conferentie in Israël, Microsoft security engineer Matt Miller zei dat ongeveer 70 procent van alle security bugs dat Microsoft patches elk jaar zijn geheugen veiligheid fouten zoals het Chrome-team patch van vorige week.
De meeste fouten komen uit het gebruik van C en C++, twee ‘geheugen-onveilige” programmeertalen, ook gebruikt voor de Chromium-broncode, het open source project op die van Google Chrome op is gebaseerd.
Google Chrome-gebruikers worden geadviseerd om gebruik te maken van de browser ingebouwde update tool te leiden tot een update naar 72.0.3626.121 versie. Gebruikers moeten dit doen nu, vooral wanneer het advies komt van Google Chrome security leiden.
Als je (of je gebruikers) worden uitgevoerd Chrome en je bent nog niet op 72.0.3626.121 … versnellen.
De CVE-2019-5786 nl details zijn niet openbaar maar … maar als Justin denkt moet u de prioriteit is hij) in een goede positie om te weten waarom en B) niet zeggen dat dit heel vaak. https://t.co/QiMe7ZJCh2
— Royce Williams (@TychoTithonus) 6 Maart 2019
Meer browser dekking:
Chrome en Firefox zijn het lenen van elkaars prestaties kenmerken
Een derde van alle Chrome-extensies verzoek toegang tot de gegevens van de gebruiker op enige site
Microsoft Rand laat Facebook Flash code achter de gebruikers backsSurveillance bedrijf vraagt Mozilla om te worden opgenomen in Firefox certificaat whitelistNew browser aanval laat hackers uitvoeren slechte code zelfs nadat de gebruiker laat een web pageGoogle Chrome bug gebruikt in het wild te verzamelen van gegevens van de gebruiker via PDF filesWhat ondernemingen moet weten over het nieuwe Chroom-gebaseerd Rand TechRepublicAd-blocking Dappere krijgt geheugen voordeel ten opzichte van Chrome op nieuws websites CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters