Разработчики Google предупредили об уязвимости нулевого дня, которую они обнаружили в Chrome. Критическая брешь, которая уже нашла применение в кибератаках, позволяет злоумышленникам выполнить произвольный код. Всем пользователям рекомендуется срочно установить версию Chrome 72.0.3626.121, где угроза уже нейтрализована.

Разработчики браузера не поделились подробностями об уязвимости, получившей идентификатор CVE-2019-5786, из соображений безопасности. На данный момент известно, что баг кроется в API FileReader; компонент, присутствующий во многих браузерах, позволяет веб-приложениям получать данные из файлов или буфера обмена на пользовательском компьютере.

Разработчики также сообщили, что устраненная уязвимость относится к классу use-after-free. Такие бреши позволяют взломщику повысить привилегии через атаку на динамическую память. В случае Chrome это означает, что злоумышленник может выйти из песочницы браузера и выполнить код в операционной системе жертвы.

Эксперты уточняют, что для выполнения атаки преступнику придется заманить пользователя на специальную интернет-страницу. Если тот кликнет по опасной ссылке, дальнейшие операции пройдут автоматически.

Представители Google подчеркивают важность обновления, поскольку преступники написали эксплойт до того, как программисты устранили угрозу. Сколько пользователей успели пострадать от уязвимости, на данный момент неизвестно.

Ранее похожая уязвимость обнаружилась в браузере Tor. Из-за ошибки плагина, который отключает выполнение скриптов на сайтах, злоумышленники могли запускать произвольные макросы на открываемых интернет-страницах. Об эксплойте стало известно только с выпуском новой версии Tor. До этого нашедшие брешь эксперты успели продать информацию некой правительственной организации.

В феврале 2019 года Mail.ru Group пообещала миллион рублей хакеру, который сможет выполнить код через ее браузер Atom. Заявки на участие в отлове багов принимаются до 21 марта.

Категории: Главное, Кибероборона, Уязвимости