Chrome Browser FileReader Vulnerability (CVE-2019-5786)
Google Chrome jest bezpłatną przeglądarką internetową dostarczoną z urządzeniami firmy Zebra z systemami operacyjnymi GMS.
On February 27th, 2019, Google announced it had uncovered a high-risk vulnerability within the browser, identified as CVE-2019-5786. Złośliwy aktor mógłby wykorzystać zarządzanie pamięcią w Chrome FileReader, wykorzystując Flash jako pierwszy Exploit w łańcuchu. Istnieją doniesienia o aktywnej eksploatacji. Na Google:
We strongly believe this vulnerability may only be exploitable on Windows 7 due to recent exploit mitigations added in newer versions of Windows. To date, we have only observed active exploitation against Windows 7 32-bit systems.
Google issued a new Chrome release on March 1st to address this vulnerability. Dodatkowe informacje o wydaniu można znaleźć na stronie Google .
Firma Zebra zdecydowanie zaleca wszystkim klientom działającym w Chrome upewniać się, że ich urządzenia automatycznie pobierają najnowszą wersję Chrome (72.0.3626.121 lub nowszą) i że urządzenia zostały ponownie uruchomione w celu zastosowania aktualizacji. Podczas gdy większość aktualizacji Chrome odbywa się automatycznie, w tym przypadku wymagane jest ponowne uruchomienie systemu. Ponadto urządzenia, na których zostały wyłączone aktualizacje automatyczne, muszą być aktualizowane ręcznie.
Google zgłosiła drugą lukę w zabezpieczeniach związaną z systemem Microsoft Windows do firmy Microsoft. Na Google:
Niezałatana Luka w zabezpieczeniach systemu Windows może być nadal wykorzystywana do podniesienia uprawnień lub, w połączeniu z inną usterką przeglądarki, w celu uniknięcia zabezpieczeń obszarów izolowanych. Microsoft powiedział nam, że pracują nad poprawą.
Zebra będzie nadal publikować informacje w tym obszarze, ponieważ jesteśmy poinformowani o zalecanych łatkach.
Produkty podlegające usterce
Dowolne urządzenie Zebra z oprogramowaniem przeglądarki Google Chrome v. 72.0.3626.120 lub starszym.
Aby uzyskać więcej informacji, zobacz:
Zastrzeżenie: firma Zebra podejmuje wszelkie próby wydania aktualizacji zabezpieczeń w momencie wydania przez Google odpowiedniego biuletynu zabezpieczeń. Jednak czas dostawy aktualizacji zabezpieczeń może się różnić w zależności od regionu, modelu produktu i dostawców oprogramowania innych firm. W pewnych okolicznościach system operacyjny musi zostać zaktualizowany do najnowszej wersji konserwacji przed zainstalowaniem aktualizacji zabezpieczeń. Indywidualne aktualizacje produktów będą dostarczać konkretnych wskazówek.
O ile nie zaznaczono inaczej, nie było doniesień o aktywnej eksploatacji klienta lub nadużycia z tych nowo zgłoszonych problemów.
Czy jesteś świadomy potencjalnego problemu z bezpieczeństwem produktu Zebra Technologies?