0-day в Chrome использовали вместе с уязвимостью в Windows 7 - «Новости»

Xakep #239. Вскрыть и изучить

• Содержание выпуска


• Подписка на «Хакер»

На прошлой неделе эксперты Google предупредили пользователей, что всем стоит как можно скорее обновить Chrome до версии 72.0.3626.121, так как в браузере была обнаружена опасная уязвимость нулевого дня, которую уже использовали хакеры. Проблему CVE-2019-5786 обнаружили  в компоненте FileReader, однако в детали бага разработчики Chrome не вдавались.

Теперь специалисты Google опубликовали еще одно сообщение, в котором рассказали, что злоумышленниками комбинировали эту уязвимость нулевого дня в Chrome с другой уязвимостью нулевого дня в Windows 7, которую в скором времени должна исправить Microsoft (точные сроки выхода патчей не называются).

Ранее уже сообщалось, что неизвестные атакующие могли осуществлять побег из песочницы, и теперь специалисты Google пояснили, что речь шла о локальном повышении привилегий, которое стало возможным из-за 0-day бага в драйвере ядра Windows win32k.sys (проблема сопряжена с разыменования нулевого указателя) .

Хотя патчи для Windows еще не готовы, специалисты Google все же сочли нужным сообщить об уязвимости уже сейчас, так как проблема серьезная и ее уже используют хакеры. Стоит отметить, что активная эксплуатация бага пока была замечена только на 32-битных версиях Windows 7, но инженеры Google все равно советуют всем пользователям уязвимых версий ОС подумать о переходе на Windows 10 (или дождаться выхода исправлений и установить их сразу же, как только они станут доступны).