Google také zveřejňuje související chyby zabezpečení systému Microsoft Windows
2 minuty čtení
Google Chrome
Bezpečnostní experti společnosti Google doporučili všem uživatelům prohlížeče Chrome ihned aktualizovat svůj prohlížeč, protože v poslední verzi 72.0.3626.121 byla opravena chyba zneužití označená jako CVE-2019-5786.
Zneužití nulového dne je bezpečnostní chyba, kterou hackeři objevili a zjistili, jak ji zneužít, než je vývoj zabezpečení schopen ji opravit. Odtud tedy termín „nulový den“ - vývoj zabezpečení měl doslova nulové dny na uzavření díry.
Google zpočátku mlčel o technických podrobnostech bezpečnostní chyby, dokud „ většina uživatelů prohlížeče Chrome je opravena. “ To pravděpodobně zabránilo dalším škodám.
Google však potvrdil, že chyba zabezpečení je zneužitím v komponentě FileReader prohlížeče bez použití. FileReader je standardní API, které umožňuje webovým aplikacím asynchronně číst obsah souborů uložené v počítači . Google také potvrdil, že zranitelnost zabezpečení byla zneužita aktéry online hrozeb.
Stručně řečeno, chyba zabezpečení umožňuje aktérům hrozeb získat oprávnění v prohlížeči Chrome a spustit libovolný kód mimo pískoviště . Hrozba má dopad na všechny hlavní operační systémy ( Windows, macOS a Linux) .
Musí to být velmi vážné zneužití, protože na Twitteru se ozval i Justin Schun, vedoucí oddělení zabezpečení a desktopového inženýrství pro Google Chrome.
https://twitter.com/justinschuh/status/1103087046661267456
Je poměrně neobvyklé, aby bezpečnostní tým veřejně řešil bezpečnostní díry, obvykle tiše opravuje věci. Justinův tweet tedy implikoval silný pocit naléhavosti pro všechny uživatele aktualizovat Chrome co nejdříve.
Google má aktualizováno více podrobností o zranitelnosti a ve skutečnosti uznal, že to byly dvě oddělené zranitelnosti využívané v tandemu.
První chyba zabezpečení byla v samotném prohlížeči Chrome, který se spoléhal na využití FileReader, jak jsme podrobně popsali výše.
Druhá chyba zabezpečení byla v samotném systému Microsoft Windows. Jednalo se o eskalaci místních privilegií v systému Windows win32k.sys a mohlo by být použito jako únik zabezpečení sandbox. Tato chyba zabezpečení je dereference ukazatele NULL ve win32k! MNGetpItemFromIndex, když je za určitých okolností voláno systémové volání NtUserMNDragOver ().
Google poznamenal, že tuto chybu zabezpečení zveřejnili vůči společnosti Microsoft a tuto chybu veřejně zveřejňují, protože vážná zranitelnost systému Windows, o které víme, že byla aktivně využívána při cílených útocích “ .
Microsoft údajně pracuje na opravě a uživatelům se doporučuje upgradovat na Windows 10 a používat opravy od Microsoftu, jakmile budou k dispozici.
Jak aktualizovat Google Chrome na PC
Do adresního řádku prohlížeče zadejte chrome: // settings / help nebo klikněte na tři tečky vpravo nahoře a vyberte Nastavení, jak je uvedeno na obrázku níže. 
Poté vyberte Nastavení (pruhy) v levém horním rohu a zvolte O prohlížeči Chrome.
Jakmile se dostanete do sekce About, Google automaticky zkontroluje dostupnost aktualizací a pokud je k dispozici aktualizace, Google vás na to upozorní.
