Vulnérabilité Chrome Browser FileReader (CVE-2019-5786)
Google Chrome est un navigateur Internet gratuit équipé d'appareils Zebra exécutant des systèmes d'exploitation GMS.
On February 27th, 2019, Google announced it had uncovered a high-risk vulnerability within the browser, identified as CVE-2019-5786. Un acteur malveillant pourrait exploiter la gestion de la mémoire dans le Chrome FileReader, en utilisant Flash comme premier exploit dans une chaîne. On a signalé une exploitation active. Par Google:
Nous croyons fermement que cette vulnérabilité peut être exploitable sur Windows 7 en raison des récentes mesures d'exploitation ajoutées dans les nouvelles versions de Windows. À ce jour, nous n'avons observé que l'exploitation active contre les systèmes Windows 7 32 bits.
Google a publié une nouvelle version Chrome le 1 mars pour remédier à cette vulnérabilité. Des informations supplémentaires sur la version peuvent être trouvées sur le site de Google.
Zebra recommande fortement à tous les clients exécutant Chrome de s'assurer que leurs appareils ont téléchargé automatiquement la dernière version de Chrome (72.0.3626.121 ou plus tard) et que les appareils ont été redémarrés pour appliquer la mise à jour. Bien que la plupart des mises à jour Chrome se produisent automatiquement, un redémarrage du système est nécessaire dans ce cas. En outre, les appareils où les mises à jour automatiques ont été désactivées devront être mis à jour manuellement.
Google a signalé une deuxième vulnérabilité liée à Microsoft Windows à Microsoft. Par Google:
La vulnérabilité Windows non corrigée peut encore être utilisée pour élever les privilèges ou, combinée avec une autre vulnérabilité du navigateur, pour échapper aux boîtes à sable de sécurité. Microsoft nous ont dit qu'ils travaillent sur un correctif.
Zebra continuera d'afficher des informations dans cette zone que nous sommes informés des correctifs recommandés.
Produits touchés
Tout appareil Zebra exécutant le logiciel de navigateur Google Chrome v. 72.0.3626.120 ou plus tôt.
Pour plus d'informations, veuillez consulter :
Avertissement: Zebra fait toutes les tentatives pour libérer des mises à jour de sécurité sur ou à peu près le moment où Google publie son bulletin de sécurité respectif. Toutefois, le délai de livraison des mises à jour de sécurité peut varier selon la région, le modèle de produit et les fournisseurs de logiciels tiers. Dans certaines circonstances, le système d'exploitation doit être mis à jour à la dernière version de maintenance avant d'installer les mises à jour de sécurité. Les mises à jour individuelles des produits fourniront des conseils spécifiques.
Sauf indication contraire, il n'y a eu aucun rapport d'exploitation active des clients ou d'abus de ces problèmes nouvellement signalés.
Connaissez-vous un problème de sécurité potentiel avec un produit Zebra Technologies ?