Google находит уязвимость нулевого дня в Chrome и призывает к немедленным обновлениям

Google находит уязвимость нулевого дня в Chrome и призывает к немедленным обновлениям

Ни одна часть программного обеспечения не является идеальной, и иногда уязвимости могут оставаться незамеченными в течение длительного времени. Например, недостаток WinRAR был открыт в течение почти двух десятилетий. Последняя ошибка Google Chrome не такая уж старая, но она намного опаснее. Google выпустил патч для этой уязвимости, но это недостаток «нулевого дня», означающий, что уже есть нарушители в сети, использующие уязвимость для атаки на Chrome. Если вы недавно не обновляли Chrome, найдите время, чтобы сделать это сейчас.

Google говорит, что эта уязвимость настолько серьезна, что скрывает подробности, пока большинство установок Chrome не будут исправлены до последней версии, которая является v72.0.3626.121 в стабильных каналах. Также должны быть соответствующие обновления в бета-версии и на каналах разработчиков. В блоге Google, посвященном этой уязвимости, он называется «CVE-2019-5786: использование после освобождения в FileReader».

Все, что мы знаем сейчас, - это то, что атака использует Chrome FileReader API. Это компонент, который позволяет браузеру получать доступ к локальным файлам на компьютере. Бит «Use-after-free» относится к классу уязвимостей, которые могут позволить злоумышленнику выполнить вредоносный код на компьютере. Поскольку это был нулевой день, Google ничего об этом не знал. Таким образом, все установки Chrome были уязвимы.

Кроме того, серьезно, обновите ваши установки Chrome ... как раз в эту минуту. #PSA

- Джастин Шо @ (@justinschuh) 6 марта 2019 года

Мы также не знаем масштаб атак на Chrome, но Google был достаточно обеспокоен, чтобы скрыть большинство деталей. Браузеры содержат так много нашей цифровой жизни сейчас, что любая уязвимость потенциально катастрофична. К счастью, очень редко, когда злоумышленники онлайн обнаруживают серьезную уязвимость перед Google или сторонними исследователями безопасности. Нам следует больше узнать о недостатке, когда большинство пользователей Chrome запускают исправленную сборку.

Именно собственная группа Google по анализу угроз обнаружила уязвимость в Chrome 27 февраля. Патч начал действовать вскоре после этого. Chrome часто обновляется, и, в зависимости от модели использования, он может быть уже установлен. Браузер автоматически обновляется при перезапуске. Однако некоторые люди оставляют экземпляры Chrome запущенными неделями без возможности обновления. Сейчас самое время дать Chrome передышку, если вы этого не сделали.

Вы можете узнать, какую версию Chrome вы используете, перейдя в Настройки> Меню> О Chrome. Если он не обновлен, вы можете начать загрузку вручную.

Читать далее

Владельцы Google Pixel Slate сообщают о сбое флеш-хранилища
Владельцы Google Pixel Slate сообщают о сбое флеш-хранилища

Форумы поддержки продуктов Google переполнены рассерженными владельцами Pixel Slate, которые говорят, что в их устройствах часто возникают серьезные ошибки хранения.

Google убивает бесплатное хранилище для фотографий, меняет то, что имеет значение в отношении ограничений
Google убивает бесплатное хранилище для фотографий, меняет то, что имеет значение в отношении ограничений

Google анонсировал некоторые существенные изменения в Фото, особенно если вы используете сервис для автоматического резервного копирования.

Время обновлять: Google исправляет 2 серьезные уязвимости Chrome нулевого дня
Время обновлять: Google исправляет 2 серьезные уязвимости Chrome нулевого дня

В отличие от последних нескольких нулевых дней, Google не обнаружил эти дыры в безопасности сам. Вместо этого он был предоставлен анонимными третьими сторонами, и проблемы настолько серьезны, что они не раскрыли полных деталей. Достаточно сказать, что вам стоит перестать откладывать это обновление.

Nvidia и Google будут поддерживать облачные игры на iPhone через веб-приложения
Nvidia и Google будут поддерживать облачные игры на iPhone через веб-приложения

И Nvidia, и Google объявили о поддержке iOS для своих облачных игровых платформ через прогрессивные веб-приложения. Apple не может это заблокировать.