CVE-2.019-13.720 è una nuova vulnerabilità in Chrome. Google sta avvertendo gli utenti che questa vulnerabilità use-after-free nella componente audio del browser è attualmente sfruttata in natura.
CVE-2.019-13.720: alcuni dettagli
CVE-2.019-13.720 è stato scoperto da ricercatori di sicurezza di Kaspersky Anton Ivanov e Alexey Kulaev
La vulnerabilità è altamente grave, e sta mettendo gli utenti al rischio di attacchi. Gli utenti sono invitati ad aggiornare alla versione più recente di Chrome, 78.0.3904.87, che verranno lanciate nei prossimi giorni.
Un successo exploit della vulnerabilità potrebbe consentire il controllo attaccante introito del sistema vulnerabile.
Come già indicato, il difetto è descritto come un problema privo uso dopo. Usa-after-free vulnerabilità sono infatti legati alla corruzione della memoria. In questi attacchi, hacker stanno facendo tentativi di accesso alla memoria dopo che è stato liberato. Questo potrebbe portare a diversi scenari dannosi, come crash un programma o addirittura eseguire codice arbitrario attacchi esecuzione.
Google è a conoscenza del problema e che un exploit del bug esiste in natura. "Il canale stabile è stato aggiornato alla 78.0.3904.87 per Windows, Mac, e Linux, che lancerà nei prossimi giorni / settimane,”, Ha detto Google.
CVE-2.019-13.721 – un altro bug libera user-dopo-fisso da parte di Google
Questa non è l'unica vulnerabilità di Google ha rivelato in questi ultimi giorni. Un altro bug di particolare gravità è CVE-2.019-13.721, che risiede in PDFium. PDFium è stato sviluppato da Foxit e Google, ed è una generazione di PDF e la biblioteca di rendering.
CVE-2.019-13.721 è anche di tipo use-after-free, ma per fortuna, Non ci sono prove del bug di essere sfruttati in natura. Il bug è stato segnalato da un ricercatore noto come “banananapenguin”, che ha ricevuto un $7500 bounty tramite il programma divulgazione della vulnerabilità di Google.
Google ha anche noto quella "accesso ai dati di bug e collegamenti possono essere tenuti limitato fino ad un maggior parte degli utenti vengono aggiornate con una correzione".