08.03.2019 09:54
Anton23 15 13300 Источник

Project Zero от Google хорошо известен тем, что обнаруживает уязвимости и эксплойты в операционной системе Microsoft, а также своими противоречивыми политиками раскрытия информации. На этой неделе исследовательский отдел компании в области кибербезопасности вновь обнаружил эксплойт в одном из продуктов Microsoft. Тем не менее, в настоящее время более интресным является тот факт, что уязвимость в настоящее время используется вместе с еще одной уязвимостью нулевого дня в браузере Chrome.

Превью


Поисковый гигант уже исправил уязвимость в своем браузере(CVE-2019-5786) через обновление, которое он выпустил в прошлую пятницу, и просит пользователей убедиться, что их Chrome обновлен ??на версию 72.0.3626.121 или выше.

Past 0days targeted Chrome by using Flash as the first exploit in the chain. Because Flash is a plugin component, we could update it separately, and once updated Chrome would silently switch to the fixed Flash, without a browser restart or any user intervention. [2/3]

— Justin Schuh (@justinschuh) March 7, 2019
Однако, в отличие от предыдущих эксплойтов нулевого дня, этот опаснее, как объясняет руководитель службы безопасности Chrome Джастин Шух. В то время как предыдущие эксплойты использовали Flash в качестве первой цели атаки, этот эксплойт непосредственно нацелен на код Chrome. И поэтому, это означает, что исправление для этого эксплойта требует перезапуска браузера со стороны пользователя.

Второй эксплойт, обнаруженный в операционной системе Microsoft, связан с ядром win32k.sys. Это локальное повышение привилегий в драйвере ядра Windows win32k.sys, которое можно использовать в качестве экранирования изолированной программной среды. Уязвимость заключается в разыменовании указателя NULL в win32k! MNGetpItemFromIndex, когда системный NtUserMNDragOver() вызывается при определенных обстоятельствах. Согласно Google, уязвимость, скорее всего, работает только с Windows 7, из-за работы Microsoft по усилению безопасности в более новых версиях Windows — исследователи Project Zero смогли реализовать эксплойт только в 32-битных версиях Windows 7.

Microsoft была проинформирована об этой уязвимости, которая, по словам Google, достаточно активно эксплуатируется, и Microsoft пока не закрыла уязвимость. Пока уязвимость не пропатчена, Google рекомендует пользователям обновить свою ОС до Windows 10.

Комментарии (15)


  1. amarao
    08.03.2019 13:40
    #19852504
    +5

    null-day узявимость, это что-то новенькое. Устоявшаяся терминология для такого рода штук — zero-day.


    1. Anton23 Автор
      08.03.2019 13:59
      #19852548

      Перепутал, сори, исправлю


  1. Leozaur
    08.03.2019 13:44
    #19852516
    +6

    Опрос так построен, будто все читатели пользуются хромом. :)


    1. Anton23 Автор
      08.03.2019 13:59
      #19852546

      Да, уже заметил. Но изменить его не могу к сожалению уже


    1. datacompboy
      08.03.2019 15:49
      #19852866

      А разве мозилла не на хромиуме? <troll mode off>


      1. arthi7471
        08.03.2019 16:09
        #19852924

        Нет. Но скоро будет если так дальше пойдет. Скоро вообще все будет на хроме. Даже ОС.


        1. vikarti
          11.03.2019 13:12
          #19864310

          Уже. ChromeOS на хромбуках. Последнее обновление веб-версии скайпа кстати почему то при обнаружении ChromeOS начало говорить что давайте компьютере или ставьте версию для Андроид и мол вот вам ссылка. Как ее поставить если хромбук старый и не поддерживает приложения — почему то не хотят говорить.


    1. AlexSky
      08.03.2019 23:31
      #19853986
      +2

      И Windows.


  1. linux_id
    08.03.2019 16:02
    #19852904
    +2

    А почему Google не порекомендовал использовать другой браузер пока уязвимость не закрыта?


    1. datacompboy
      08.03.2019 16:20
      #19852960

      lynx vs links.


    1. Serge78rus
      08.03.2019 17:09
      #19853068

      Потому, что к моменту публикации (07.03.2019), уязвимость была исправлена:

      Поисковый гигант уже исправил уязвимость в своем браузере(CVE-2019-5786) через обновление, которое он выпустил в прошлую пятницу,


  1. Mako_357
    08.03.2019 20:03
    #19853522
    +4

    Пока уязвимость не пропатчена, Google рекомендует пользователям обновить свою ОС до Windows 10

    Как устранят, можно обратно со спокойной душой откатываться.


  1. Psychosynthesis
    08.03.2019 22:11
    #19853788
    +2

    Уязвимость заключается в разыменовании указателя NULL в win32k! MNGetpItemFromIndex, когда системный NtUserMNDragOver() вызывается при определенных обстоятельствах
    А можно подробнее пжлст, с примером кода?


  1. Wesha
    08.03.2019 23:12
    #19853954
    +3

    Похоже, хвалёные автоматические сборки-проверки гугля не сильно-то и помогли. Давайте PVS-studio подарим?


  1. jok40
    09.03.2019 14:23
    #19855668

    Второй эксплойт, обнаруженный в операционной системе Microsoft, связан с ядром win32k.sys.
    Эксплойтом, вообще-то, называют вредоносный код. Они там что — уже вредоносные коды в оригинальной винде находят?