Luka w zabezpieczeniach przeglądarki Chrome związanej z FileReader (CVE-2019-5786)

Google Chrome jest bezpłatną przeglądarką internetową dostarczoną z urządzeniami firmy Zebra z systemami operacyjnymi GMS.

27 lutego 2019 roku Google ogłosiło, że odkryło lukę wysokiego ryzyka w przeglądarce, zidentyfikowaną jako CVE-2019-5786. Złośliwy aktor mógłby wykorzystać zarządzanie pamięcią w Chrome FileReader, wykorzystując Flash jako pierwszy Exploit w łańcuchu. Istnieją doniesienia o aktywnej eksploatacji. Na Google:

Wierzymy, że ta luka może być eksploatować tylko w systemie Windows 7 z powodu niedawne środki zaradczy Exploit dodane w nowszych wersjach systemu Windows. Do tej pory zaobserwowaliśmy tylko aktywną eksploatację w systemach Windows 7 32-bitowych.

Google wydała nową wersję Chrome 1 marca, aby rozwiązać tę lukę. Dodatkowe informacje o wydaniu można znaleźć na stronie Google .

Firma Zebra zdecydowanie zaleca wszystkim klientom działającym w Chrome upewniać się, że ich urządzenia automatycznie pobierają najnowszą wersję Chrome (72.0.3626.121 lub nowszą) i że urządzenia zostały ponownie uruchomione w celu zastosowania aktualizacji. Podczas gdy większość aktualizacji Chrome odbywa się automatycznie, w tym przypadku wymagane jest ponowne uruchomienie systemu. Ponadto urządzenia, na których zostały wyłączone aktualizacje automatyczne, muszą być aktualizowane ręcznie.


Google zgłosiła drugą lukę w zabezpieczeniach związaną z systemem Microsoft Windows do firmy Microsoft. Na Google:

Niezałatana Luka w zabezpieczeniach systemu Windows może być nadal wykorzystywana do podniesienia uprawnień lub, w połączeniu z inną usterką przeglądarki, w celu uniknięcia zabezpieczeń obszarów izolowanych. Microsoft powiedział nam, że pracują nad poprawą.

Zebra będzie nadal publikować informacje w tym obszarze, ponieważ jesteśmy poinformowani o zalecanych łatkach.

Produkty podlegające usterce

Dowolne urządzenie Zebra z oprogramowaniem przeglądarki Google Chrome v. 72.0.3626.120 lub starszym.

Zastrzeżenie: firma Zebra podejmuje wszelkie próby wydania aktualizacji zabezpieczeń w momencie wydania przez Google odpowiedniego biuletynu zabezpieczeń. Jednak czas dostawy aktualizacji zabezpieczeń może się różnić w zależności od regionu, modelu produktu i dostawców oprogramowania innych firm. W pewnych okolicznościach system operacyjny musi zostać zaktualizowany do najnowszej wersji konserwacji przed zainstalowaniem aktualizacji zabezpieczeń. Indywidualne aktualizacje produktów będą dostarczać konkretnych wskazówek.

O ile nie zaznaczono inaczej, nie było doniesień o aktywnej eksploatacji klienta lub nadużycia z tych nowo zgłoszonych problemów.



Czy jesteś świadomy potencjalnego problemu z bezpieczeństwem produktu Zebra Technologies?