Google сообщила, что обновление для Chrome, вышедшее на прошлой неделе, содержало исправление для уязвимости нулевого дня, которой уже успели воспользоваться хакеры.

В хакерских атаках была задействована уязвимость системы безопасности CVE-2019-5786, эксплуатирующая ошибку управления памятью инструмента FileReader, который позволяет веб-приложениям считывать содержимое файлов, хранящихся на устройстве пользователя. Неправильная обработка этого доступа к памяти приводит к выполнению вредоносного кода.

По словам Чауки Бекрар из Zerodium, CVE-2019-5786 позволяет вредоносному коду выходить из изолированной программной среды безопасности Chrome и запускать команды на операционной системе.

Google discovered a Chrome RCE #0day in the wild (CVE-2019-5786). Reportedly, a full chain with a sandbox escape: https://t.co/Nxfrvr5wIh

In 2019, I expect epic 0days to be found in the wild: Android, iOS, Windows, Office, virtualization, and more. Stay safe and enjoy the show.

— Chaouki Bekrar (@cBekrar) 6 марта 2019 г.

В прошлом месяце инженер из Microsoft Мэтт Миллер, выступая на конференции по безопасности в Израиле, сообщил, что 70 процентов всех уязвимостей, которые Microsoft исправляет каждый год — это ошибки в работе с памятью. Они похожи на ту, которую команда разработчиков Chrome исправила на прошлой неделе.

Пользователям браузера Chrome рекомендуется проверить наличие установленного обновления под номером 72.0.3626.121. Для этого откройте Меню > Справка > О браузере Google Chrome, после чего запустится автоматическая проверка обновлений.