Vulnerabilidad del navegador Chrome FileReader (CVE-2019-5786)
Google Chrome es un navegador de Internet gratuito que se proporciona con dispositivos Zebra que ejecutan sistemas operativos GMS.
El 27 de febrero, 2019, Google anunció que había descubierto una vulnerabilidad de alto riesgo dentro del navegador, identificado como CVE-2019-5786. Un actor malintencionado podría explotar la gestión de la memoria dentro de Chrome FileReader, utilizando Flash como el primer exploit en una cadena. Ha habido informes de explotación activa. Por Google:
Creemos firmemente que esta vulnerabilidad puede ser explotable en Windows 7 debido a las recientes mitigaciones de vulnerabilidades agregadas en las versiones más recientes de Windows. Hasta la fecha, solo hemos observado la explotación activa contra sistemas Windows 7 de 32 bits.
Google publicó una nueva versión de Chrome el 1 de marzo para abordar esta vulnerabilidad. Puede encontrar información adicional sobre la versión en sitio de Google.
Zebra recomienda encarecidamente a todos los clientes que ejecuten Chrome que se aseguren de que sus dispositivos hayan descargado automáticamente la última versión de Chrome (72.0.3626.121 o posterior) y que los dispositivos se hayan reiniciado para aplicar la actualización. Aunque la mayoría de las actualizaciones de Chrome se producen automáticamente, en este caso se requiere un reinicio del sistema. Además, los dispositivos en los que se han deshabilitado las actualizaciones automáticas deberán actualizarse manualmente.
Google ha informado de una segunda vulnerabilidad relacionada con Microsoft Windows a Microsoft. Por Google:
La vulnerabilidad de Windows sin parches todavía se puede utilizar para elevar privilegios o, combinado con otra vulnerabilidad del navegador, para evadir los entornos limitados de seguridad. Microsoft nos han dicho que están trabajando en una solución.
Zebra seguirá publicando información en esta área a medida que se nos informe de los parches recomendados.
Productos afectados
Cualquier dispositivo Zebra que ejecute el software del navegador Google Chrome v. 72.0.3626.120 o anterior.
Para obtener más información, consulte:
Descargo de responsabilidad: Zebra realiza todos los intentos de publicar actualizaciones de seguridad en o sobre el momento en que Google publica su respectivo boletín de seguridad. Sin embargo, el tiempo de entrega de las actualizaciones de seguridad puede variar según la región, el modelo de producto y los proveedores de software de terceros. En algunas circunstancias, el sistema operativo debe actualizarse a la versión de mantenimiento más reciente antes de instalar las actualizaciones de seguridad. Las actualizaciones individuales de productos proporcionarán orientación específica.
A menos que se indique lo contrario, no ha habido informes de explotación activa del cliente o abuso de estos problemas recién reportados.
¿Conoce un posible problema de seguridad con un producto de Zebra Technologies?