O Google também divulga vulnerabilidades relacionadas ao Microsoft Windows
2 minutos lidos
Google Chrome
Os especialistas em segurança do Google recomendaram que todos os usuários do Chrome imediatamente atualizar seu navegador, já que o exploit zero-day rotulado CVE-2019-5786 foi corrigido na última versão 72.0.3626.121.
Um exploit de dia zero é uma vulnerabilidade de segurança que os hackers descobriram, e descobriram como explorar, antes que o desenvolvimento de segurança pudesse corrigi-la. Daí o termo “dia zero” - o desenvolvimento de segurança tinha literalmente zero dias para fechar o buraco.
O Google inicialmente manteve silêncio sobre os detalhes técnicos da vulnerabilidade de segurança, até que “ a maioria dos usuários do Chrome são atualizados com a correção ”. Isso provavelmente evitaria maiores danos.
No entanto, o Google confirmou que a vulnerabilidade de segurança é um exploit use-after-free no componente FileReader do navegador. FileReader é uma API padrão, que permite que aplicativos da web leiam de forma assíncrona o conteúdo dos arquivos armazenado em um computador . O Google também confirmou que a vulnerabilidade de segurança foi explorada por agentes de ameaças online.
Em suma, a vulnerabilidade de segurança permite que os agentes da ameaça obtenham privilégios no navegador Chrome e executem código arbitrário fora da caixa de areia . A ameaça afeta todos os principais sistemas operacionais ( Windows, macOS e Linux) .
Deve ser uma exploração muito séria, porque até Justin Schun, líder de engenharia de segurança e desktop do Google Chrome, falou no Twitter.
https://twitter.com/justinschuh/status/1103087046661267456
É bastante incomum para a equipe de segurança abordar publicamente as falhas de segurança, eles normalmente corrigem as coisas silenciosamente. Assim, o tweet de Justin implicava um forte senso de urgência para todos os usuários para atualizar o Chrome o mais rápido possível.
O Google tem atualizou mais detalhes sobre a vulnerabilidade e, de fato, reconheceu que se tratava de duas vulnerabilidades separadas sendo aproveitadas em conjunto.
A primeira vulnerabilidade estava dentro do próprio Chrome, que dependia do exploit FileReader conforme detalhamos acima.
A segunda vulnerabilidade estava no próprio Microsoft Windows. Era um aumento de privilégio local no win32k.sys do Windows e poderia ser usado como um escape da sandbox de segurança. A vulnerabilidade é uma desreferência do ponteiro NULL em win32k! MNGetpItemFromIndex quando a chamada de sistema NtUserMNDragOver () é chamada em circunstâncias específicas.
O Google observou que divulgou a vulnerabilidade para a Microsoft e está divulgando publicamente a vulnerabilidade porque é “ uma vulnerabilidade séria no Windows que sabemos que está sendo explorada ativamente em ataques direcionados ” .
A Microsoft está supostamente trabalhando em uma correção e os usuários são recomendados a atualizar para o Windows 10 e aplicar patches da Microsoft assim que estiverem disponíveis.
Como atualizar o Google Chrome em um PC
Na barra de endereço do seu navegador, digite chrome: // settings / help ou clique nos três pontos no canto superior direito e escolha Configurações conforme indicado na imagem abaixo. 
Em seguida, escolha Configurações (Barras) no canto superior esquerdo e escolha Sobre o Chrome.
Quando estiver na seção Sobre, o Google verificará automaticamente se há atualizações e, se houver uma atualização disponível, o Google irá notificá-lo.
![[CORREÇÃO] Erro de atualização do Dark Souls 0x80072751](https://jf-balio.pt/img/how-tos/47/dark-souls-update-error-0x80072751.png)
