Vulnerabilidade do FileReader do navegador Chrome (CVE-2019-5786)
O Google Chrome é um navegador de Internet gratuito fornecido com dispositivos zebra que executam sistemas operacionais GMS.
Em 27 de fevereiro de 2019, o Google anunciou que havia descoberto uma vulnerabilidade de alto risco dentro do navegador, identificada como CVE-2019-5786. Um ator malicioso poderia explorar o gerenciamento de memória dentro do Chrome FileReader, usando o flash como o primeiro Exploit em uma cadeia. Houve relatos de exploração ativa. Por Google:
Acreditamos firmemente que essa vulnerabilidade só pode ser explorável no Windows 7 devido a recentes mitigações de exploração adicionadas em versões mais recentes do Windows. Até à data, só observamos exploração ativa contra sistemas Windows 7 32-bit.
O Google emitiu uma nova versão do Chrome em 1 de março para resolver esta vulnerabilidade. Informações adicionais sobre o lançamento podem ser encontradas no site do Google .
A zebra recomenda vivamente que todos os clientes que executam o Chrome garantam que os seus dispositivos tenham feito o download automaticamente da versão mais recente do Chrome (72.0.3626.121 ou posterior) e que os dispositivos tenham sido reiniciados para aplicar a atualização. Enquanto a maioria das atualizações do Chrome ocorrem automaticamente, é necessário reiniciar o sistema neste caso. Além disso, os dispositivos em que as atualizações automáticas foram desabilitadas precisarão ser atualizadas manualmente.
O Google relatou uma segunda vulnerabilidade relacionada ao Microsoft Windows à Microsoft. Por Google:
A vulnerabilidade do Windows não corrigida ainda pode ser usada para elevar privilégios ou, combinada com outra vulnerabilidade de navegador, para evitar sandboxes de segurança. A Microsoft nos disse que eles estão trabalhando em uma correção.
Zebra continuará a postar informações para esta área, como somos informados de patches recomendados.
Produtos afetados
Qualquer dispositivo zebra rodando o software do navegador Google Chrome v. 72.0.3626.120 ou anterior.
Para mais informações, por favor, consulte:
Disclaimer: zebra faz todas as tentativas de liberar atualizações de segurança sobre ou sobre o tempo que o Google libera seu respectivo boletim de segurança. No entanto, o tempo de entrega das atualizações de segurança pode variar dependendo da região, modelo de produto e fornecedores de software de terceiros. Em algumas circunstâncias, o sistema operacional deve ser atualizado para a versão de manutenção mais recente antes de instalar as atualizações de segurança. As atualizações individuais do produto fornecerão orientação específica.
Salvo indicação em contrário, não houve relatos de exploração ou abuso de clientes ativos dessas questões recém-relatadas.
Você está ciente de um problema de segurança potencial com um produto Zebra Technologies?