Google tiež zverejňuje súvisiace chyby zabezpečenia systému Microsoft Windows
2 minúty prečítané
Google Chrome
Bezpečnostní experti spoločnosti Google odporúčajú všetkým používateľom prehliadača Chrome okamžite aktualizovať svoj prehliadač, pretože exploit nulového dňa označený ako CVE-2019-5786 bol opravený v najnovšej verzii 72.0.3626.121.
Zneužitie nulového dňa je chybou zabezpečenia, ktorú hackeri odhalili a prišli na to, ako ju zneužiť skôr, ako je vývoj zabezpečenia schopný ju opraviť. Odtiaľ pochádza aj termín „nultý deň“ - vývoj bezpečnosti mal doslova nula dní na to, aby dieru uzavrel.
Google spočiatku o technických podrobnostiach bezpečnostnej chyby mlčal, až kým „ väčšina používateľov prehliadača Chrome je opravená. “ To pravdepodobne zabránilo ďalším škodám.
Spoločnosť Google však potvrdila, že bezpečnostná chyba je zneužitím v komponente FileReader v prehliadači. FileReader je štandardné rozhranie API, ktoré umožňuje webovým aplikáciám asynchrónne čítať obsah súborov uložené v počítači . Spoločnosť Google tiež potvrdila, že zraniteľnosť zabezpečenia bola zneužitá aktérmi online hrozieb.
Stručne povedané, chyba zabezpečenia umožňuje aktérom hrozieb získať oprávnenia v prehliadači Chrome a spustiť ľubovoľný kód mimo pieskoviska . Hrozba ovplyvňuje všetky hlavné operačné systémy ( Windows, macOS a Linux) .
Musí to byť veľmi vážne zneužitie, pretože na Twitteri sa vyjadril aj Justin Schun, vedúci oddelenia zabezpečenia a desktopov pre Google Chrome.
https://twitter.com/justinschuh/status/1103087046661267456
Je dosť neobvyklé, aby sa bezpečnostný tím verejne venoval bezpečnostným dieram, zvyčajne veci ticho opravuje. Justinov tweet teda znamenal pre všetkých používateľov silný pocit naliehavosti, aby si Chrome aktualizovali čo najskôr.
Google má aktualizované ďalšie podrobnosti o zraniteľnosti a v skutočnosti uznal, že išlo o dve samostatné zraniteľnosti využívané v tandeme.
Prvá zraniteľnosť bola v samotnom prehliadači Chrome, ktorý sa spoliehal na využitie nástroja FileReader, ako sme podrobne opísali vyššie.
Druhá chyba bola v samotnom systéme Microsoft Windows. Išlo o eskaláciu miestnych privilégií v systéme Windows win32k.sys a dalo sa použiť ako únik z bezpečnostného sandboxu. Zraniteľnosťou je dereferencia ukazovateľa NULL vo win32k! MNGetpItemFromIndex, keď sa za určitých okolností zavolá systémové volanie NtUserMNDragOver ().
Google poznamenal, že zverejnili túto chybu zabezpečenia spoločnosti Microsoft a verejne ju zverejnili, pretože ide o „ vážna zraniteľnosť systému Windows, o ktorej vieme, že sa aktívne využívala pri cielených útokoch “ .
Spoločnosť Microsoft údajne pracuje na oprave a používateľom sa odporúča inovovať na Windows 10 a aplikovať opravy od spoločnosti Microsoft hneď, ako budú k dispozícii.
Ako aktualizovať prehliadač Google Chrome na počítači
Do panela s adresou v prehliadači zadajte chrome: // settings / help alebo kliknite na tri bodky vpravo hore a vyberte Nastavenia podľa obrázka nižšie. 
Potom vyberte Nastavenia (pruhy) v ľavom hornom rohu a zvoľte O prehliadači Chrome.
V sekcii O službe Google automaticky skontroluje dostupnosť aktualizácií. Ak je k dispozícii nejaká aktualizácia, upozorní vás na to.
![[Oprava] Databáza konfiguračného registra je poškodená](https://jf-balio.pt/img/how-tos/76/configuration-registry-database-is-corrupt.png)
