Luka w zabezpieczeniach przeglądarki Chrome związanej z FileReader (CVE-2019-5786)
Google Chrome jest bezpłatną przeglądarką internetową dostarczoną z urządzeniami firmy Zebra z systemami operacyjnymi GMS.
27 lutego 2019 roku Google ogłosiło, że odkryło lukę wysokiego ryzyka w przeglądarce, zidentyfikowaną jako CVE-2019-5786. Złośliwy aktor mógłby wykorzystać zarządzanie pamięcią w Chrome FileReader, wykorzystując Flash jako pierwszy Exploit w łańcuchu. Istnieją doniesienia o aktywnej eksploatacji. Na Google:
Wierzymy, że ta luka może być eksploatować tylko w systemie Windows 7 z powodu niedawne środki zaradczy Exploit dodane w nowszych wersjach systemu Windows. Do tej pory zaobserwowaliśmy tylko aktywną eksploatację w systemach Windows 7 32-bitowych.
Google wydała nową wersję Chrome 1 marca, aby rozwiązać tę lukę. Dodatkowe informacje o wydaniu można znaleźć na stronie Google .
Firma Zebra zdecydowanie zaleca wszystkim klientom działającym w Chrome upewniać się, że ich urządzenia automatycznie pobierają najnowszą wersję Chrome (72.0.3626.121 lub nowszą) i że urządzenia zostały ponownie uruchomione w celu zastosowania aktualizacji. Podczas gdy większość aktualizacji Chrome odbywa się automatycznie, w tym przypadku wymagane jest ponowne uruchomienie systemu. Ponadto urządzenia, na których zostały wyłączone aktualizacje automatyczne, muszą być aktualizowane ręcznie.
Google zgłosiła drugą lukę w zabezpieczeniach związaną z systemem Microsoft Windows do firmy Microsoft. Na Google:
Niezałatana Luka w zabezpieczeniach systemu Windows może być nadal wykorzystywana do podniesienia uprawnień lub, w połączeniu z inną usterką przeglądarki, w celu uniknięcia zabezpieczeń obszarów izolowanych. Microsoft powiedział nam, że pracują nad poprawą.
Zebra będzie nadal publikować informacje w tym obszarze, ponieważ jesteśmy poinformowani o zalecanych łatkach.
Produkty podlegające usterce
Dowolne urządzenie Zebra z oprogramowaniem przeglądarki Google Chrome v. 72.0.3626.120 lub starszym.
Aby uzyskać więcej informacji, zobacz:
Zastrzeżenie: firma Zebra podejmuje wszelkie próby wydania aktualizacji zabezpieczeń w momencie wydania przez Google odpowiedniego biuletynu zabezpieczeń. Jednak czas dostawy aktualizacji zabezpieczeń może się różnić w zależności od regionu, modelu produktu i dostawców oprogramowania innych firm. W pewnych okolicznościach system operacyjny musi zostać zaktualizowany do najnowszej wersji konserwacji przed zainstalowaniem aktualizacji zabezpieczeń. Indywidualne aktualizacje produktów będą dostarczać konkretnych wskazówek.
O ile nie zaznaczono inaczej, nie było doniesień o aktywnej eksploatacji klienta lub nadużycia z tych nowo zgłoszonych problemów.
Czy jesteś świadomy potencjalnego problemu z bezpieczeństwem produktu Zebra Technologies?