Google исправила 0-day уязвимость в Chrome

Инженеры Google неожиданно выпустили Chrome 78.0.3904.87 для Windows, Mac и Linux, где исправлена уязвимость нулевого дня, уже находящаяся под атаками. Проблема получила идентификатор CVE-2019-13720 и представляет собой use-aster-free баг в аудиокомпоненте браузера.

Уязвимость обнаружили специалисты «Лаборатории Касперского», которые уже опубликовали детальный анализ проблемы. Эксперты пишут, что баг используется для установки малвари на компьютеры жертв.

Исследователи не смогли связать атаки на уязвимость с конкретной хакерской группой, но присвоили им название WizardOpium. По их словам,  в коде есть определенные сходства с атаками группировки Lazarus, однако это вполне может быть отвлекающим маневром.

Отмечается, что эксплуатация уязвимости была связана с watering hole («водопой») атакой на новостной портал на корейском языке, на главную страницу которого был внедрен вредоносный JavaScript. Такие атаки названы по аналогии с тактикой хищников, которые охотятся у водопоя, поджидая добычу — животных, пришедших напиться. И такое поведение скорее похоже на прошлые операции группы DarkHotel.

Всем пользователям Chrome рекомендуется как можно скорее обновить браузер до версии 78.0.3904.87.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (2)

  • Интересно, в какой версии Хрома данная уязвимость была добавлена?

  • Сложность внутрннего устройства браузера уже сравнялась, а быть может и превысила, сложность устройства ОС-ей... Следовательно шансов на надёжность и безопасность всё меньше... Грустненько!