Двойное зеро: через 0-day уязвимость в Chrome хакеры атаковали 0-day уязвимость в Windows 7

Опубликовано at 14:15
23 0

Март для Google и Microsoft выдался тревожным месяцем (впрочем, когда было иначе?). Так, на прошлой неделе эксперты Google предупредили пользователей, что всем стоит как можно скорее обновить Chrome до версии 72.0.3626.121, так как в браузере была обнаружена опасная уязвимость нулевого дня, которую уже использовали хакеры.

Специалисты упомянули тогда, что проблему CVE-2019-5786 обнаружили в компоненте FileReader, однако в детали бага разработчики Chrome предпочли не вдаваться. Зато в эти деталях резво разобрались кибервзломщики,  которые, говорится в новом пресс-релизе от Google, придумали, как скомбинировать эту уязвимость нулевого дня в Chrome с другой уязвимостью нулевого дня в Windows 7, которую в скором времени должна исправить Microsoft (точные сроки выхода патчей, впрочем, не называются).

Ранее уже кратко упоминалось, что неизвестные атакующие могли осуществлять побег из песочницы (sandbox), и теперь специалисты Google пояснили, что речь шла о локальном повышении привилегий, которое стало возможным из-за 0-day бага в драйвере ядра Windows win32k.sys.

Хотя патчи для Windows еще не готовы, специалисты Google все же сочли нужным сообщить об уязвимости уже сейчас, так как проблема серьезная, и ее уже используют хакеры (и явно их число после этой публикации увеличится). Стоит отметить, что активная эксплуатация бага пока была замечена только на 32-битных версиях Windows 7, однако инженеры Google все равно советуют всем пользователям уязвимых версий ОС подумать о переходе на Windows 10. Или дождаться выхода исправлений и установить их сразу же, как только они станут доступны. Или держать антивирус включенным и быть настороже.

Ранее стало известно, что Google Chrome подвергается едва ли не в первую очередь опасности со стороны магазина своих расширений. Специалисты по кибербезопасности из Duo Labs (входит в состав Cisco) проанализировали более чем 120 тысяч плагинов, представленных в Интернет-магазине Chrome, и выяснили, что треть из них используют уязвимые сторонние библиотеки. Если обращаться к менее важным вещам, то почти 85% приложений и расширений не имеют ссылки на политику конфиденциальности, а еще 77% не разместили в программе адрес страницы службы поддержки. Из 95 тыс. плагинов более 78% не имеют Политики безопасности контента (CSP), но даже те из них, у кого она присутствует, не задают в ней список доверенных внешних источников.

Также ранее АКБ сообщало, что эксперты по кибербезопасности из компании EdgeSpot обнаружили ранее не описанную уязвимость нулевого дня в браузере Chrome. Патча для проблемы пока не существует, и специалисты в качестве элементарной защитной меры рекомендуют пользователям временно не открывать файлы PDF в браузере.

Подписываемся, следим @CyberAgency

Related Post

Добавить комментарий