Google развеял домыслы в отношении 0-day уязвимости в Chrome

Первого марта компания Google опубликовала очередное обновление браузера Chrome 72.0.3626.121 с устранением уязвимости (CVE-2019-5786), позволяющей инициировать обращение к уже освобожденному блоку памяти (Use-after-free) через манипуляцию с API FileReader. Проблеме был присвоен высокий, но не критический, уровень опасности, т. е. обозначено, что уязвимость не позволяет обойти все уровни защиты браузера и ее недостаточно чтобы выполнить код в системе за пределами sandbox-окружения. При этом представители Google через твиттер рекомендовали как можно быстрее установить обновление, что вызвало много домыслов в СМИ об опасности и самодостаточности проблемы, что усугублялось ограничением доступа к странице с детальной информацией об уязвимости.

Несколько часов назад компания Google опубликовала пояснение, в котором подтвердила, что уязвимость CVE-2019-5786 была устранена после поступления 27 февраля сведений о проведении атаки на пользователей с использованием неисправленной уязвимости в Chrome (0-day). По информации Google сама по себе уязвимость CVE-2019-5786 в Chrome не позволяет добиться выполнения кода в системе и для обхода sandbox-окружения требуется применение еще одной уязвимости в операционной системе.

Что касается выявленной атаки, для получения контроля за системами пользователей вместе с уязвимостью в Chrome применялась еще одна 0-day уязвимость в Windows 7. Уязвимость присутствовала в драйвере win32k.sys и позволяла обойти ограничения sandbox-окружения браузера через манипуляции с системным вызовом NtUserMNDragOver. Проблема до сих пор остается неисправленной в Windows 7 и до сих пор может применяться вкупе с другими уязвимостями в браузерах для обхода ограничений sandbox-изоляции. Пользователи Linux, macOS, *BSD и Windows 10 атаке не подвержены.