Isiniwalat din ng Google ang nauugnay na kahinaan ng Microsoft Windows
2 minuto basahin
Google Chrome
Inirekomenda ng mga eksperto sa seguridad sa Google na lahat ng mga gumagamit ng Chrome kaagad i-update ang kanilang browser, dahil ang zero-day exploit na may label na CVE-2019-5786 ay na-patch sa pinakabagong bersyon ng 72.0.3626.121.
Ang isang zero-day na pagsasamantala ay isang kahinaan sa seguridad na natuklasan ng mga hacker, at naisip kung paano pagsamantalahan, bago ma-patch ito ng pag-unlad ng seguridad. Samakatuwid ang terminong 'zero day' - ang pag-unlad ng seguridad ay literal na may zero araw upang isara ang butas.
Ang Google ay paunang nanahimik tungkol sa mga teknikal na detalye ng kahinaan sa seguridad, hanggang sa ' isang karamihan ng mga gumagamit ng Chrome ay na-update na may pag-aayos ”. Malamang na maiwasan nito ang karagdagang pinsala.
Gayunpaman, nakumpirma ng Google na ang kahinaan sa seguridad ay isang paggamit-pagkatapos-libreng pagsasamantala sa bahagi ng FileReader ng browser. Ang FileReader ay isang pamantayang API, na nagpapahintulot sa mga web app na asinkron na basahin ang mga nilalaman ng mga file nakaimbak sa isang computer . Kinumpirma din ng Google na ang kahinaan sa seguridad ay pinagsamantalahan ng mga aktor ng banta sa online.
Sa madaling sabi, pinapayagan ng kahinaan sa seguridad ang mga aktor ng banta na makakuha ng mga pribilehiyo sa browser ng Chrome, at magpatakbo ng di-makatwirang code sa labas ng sandbox . Ang banta ay nakakaapekto sa lahat ng mga pangunahing operating system ( Windows, macOS, at Linux) .
Ito ay dapat maging isang seryosong pagsasamantala, dahil kahit na si Justin Schun, ang Security at Desktop Engineering Lead para sa Google Chrome, ay nagsalita sa Twitter.
https://twitter.com/justinschuh/status/1103087046661267456
Hindi pangkaraniwan para sa pangkat ng seguridad na publiko na harapin ang mga butas sa seguridad, karaniwang tahimik nilang tinatago ang mga bagay. Kaya, ang tweet ni Justin ay nagpapahiwatig ng isang malakas na pakiramdam ng pagka-madali para sa lahat ng mga gumagamit na i-update ang Chrome.
Ang Google ay mayroong nai-update na higit pang mga detalye tungkol sa kahinaan, at sa katunayan kinikilala na ito ay dalawang magkakahiwalay na kahinaan na pinamamahalaan nang magkasabay.
Ang unang kahinaan ay nasa loob mismo ng Chrome, na umasa sa pagsamantalahan ng FileReader tulad ng aming detalyadong nasa itaas.
Ang pangalawang kahinaan ay nasa loob mismo ng Microsoft Windows. Ito ay isang lokal na pagtaas ng pribilehiyo sa Windows win32k.sys, at maaaring magamit bilang isang security sandbox escape. Ang kahinaan ay isang NULL pointer na pagkakatanggal sa win32k! MNGetpItemFromIndex kapag ang NtUserMNDragOver () tawag sa system ay tinawag sa ilalim ng mga tiyak na pangyayari.
Sinabi ng Google na isiniwalat nila ang kahinaan sa Microsoft, at isinapubliko ng publiko ang kahinaan dahil ito ay ' isang seryosong kahinaan sa Windows na alam namin na aktibong pinagsamantalahan sa mga naka-target na pag-atake ' .
Ang Microsoft ay sinasabing nagtatrabaho sa isang pag-aayos, at inirerekumenda ng mga gumagamit na mag-upgrade sa Windows 10 at maglapat ng mga patch mula sa Microsoft sa lalong madaling panahon na sila ay magamit.
Paano i-update ang Google Chrome sa isang PC
Sa address bar ng iyong browser type chrome: // setting / help o i-click ang tatlong mga tuldok sa kanang tuktok at piliin ang Mga Setting tulad ng ipinahiwatig sa imahe sa ibaba. 
Pagkatapos piliin ang Mga Setting (Mga Bar) mula sa kaliwang sulok sa itaas at piliin ang Tungkol sa Chrome.
Kapag nasa seksyon na Tungkol sa, awtomatikong susuriin ng Google ang mga update, at kung mayroong isang magagamit na pag-update ay aabisuhan ka ng Google.
