Học viện hack đạo đức Đào tạo hack đạo đức ở Pune – Ấn Độ

Hacking cực đoan | Sadik Shaikh | Cyber ​​Suraksha Abhiyan

Tín dụng: Sổ đăng ký

Đã cập nhật Nếu Google Chrome đang làm phiền bạn để cập nhật nó ngay bây giờ, vui lòng dừng những gì bạn đang làm và nhận bản nâng cấp đó.

Phiên bản mới nhất khắc phục lỗ hổng bảo mật (CVE-2019-5786) có thể bị các trang web độc hại khai thác để chiếm quyền điều khiển phần mềm và chạy phần mềm gián điệp, ransomware và các tính năng khác trên thiết bị hoặc máy của bạn.

Theo Googler Abdul Syed, gã khổng lồ quảng cáo nhận thức được các báo cáo rằng khai thác CVE-2019-5786 tồn tại trong tự nhiên, có nghĩa là tội phạm và các hành vi sai trái khác đang tận dụng lỗi để lây nhiễm máy tính của nạn nhân. Một nhãn hiệu chỉ cần được dụ dỗ để mở một trang web bị bẫy, từ một liên kết nhắn tin hoặc email hoặc xem quảng cáo độc hại, sử dụng phiên bản Chrome dễ bị tấn công để trở thành nạn nhân.

Trong khi đó, Justin Schuh, lãnh đạo Google Chrome đã thúc giục: Nghiêm túc, cập nhật cài đặt Chrome của bạn như thế ngay lúc này.

Lỗ hổng ảnh hưởng đến các bản dựng Windows, Linux, Android, ChromeOS và macOS của Chrome: nếu bạn chạy phiên bản 72.0.3626.121 trở lên (hoặc 72.0.3626.122 trở lên trên ChromeOS) thì bạn hoàn toàn ổn. Mở menu Chrome, nhấp vào ‘Trợ giúp, sau đó‘ Giới thiệu về Google Chrome, để kiểm tra phiên bản. Từ đó, bạn có thể cập nhật khi cần thiết hoặc sử dụng trình quản lý gói yêu thích của mình để nâng cấp.

Thông thường, Chrome sẽ tự động cập nhật các bản cập nhật của nó: bạn chỉ cần khởi động lại khi hoàn thành.

Dưới mui xe

Lỗi, được phát hiện bởi Googler Clement Lecigne, nằm trong phần API FileReader của Chrome và là một lỗi lập trình sử dụng miễn phí (). Điều này có nghĩa là trình duyệt có thể bị lừa đánh dấu một khối bộ nhớ heap là không còn cần thiết, và sau đó sử dụng lại nó như thể nó đã giải phóng không gian.

Ở giữa một luồng giải phóng bộ nhớ và tái sử dụng nó, không gian bộ nhớ đó có thể được gán cho một phần khác của trình duyệt và được thay đổi, ví dụ, trong khi hiển thị trang web. Khi một luồng sử dụng lại không gian bộ nhớ đó một cách không chính xác, dữ liệu sẽ bị ghi đè và thay đổi đáng kể, dẫn đến nhầm lẫn và cuối cùng, có khả năng, thực thi mã từ xa.

Một cách để đạt được điều này là tạo một trang web, khi được tải, khiến cho một luồng Chrome giải phóng bộ nhớ giữ một khối các con trỏ hàm, sau đó hiển thị một số HTML hoặc kích hoạt một số JavaScript khiến khối được phân bổ lại, và những con trỏ được ghi đè bằng dữ liệu trong trang. Sau đó, bạn đợi trình duyệt truy cập vào những gì nó cho là con trỏ hợp lệ từ khối bộ nhớ và nhảy đến chúng. Trong thực tế, nó sẽ bắt đầu chạy mã tùy ý được cung cấp bởi trang web Kẻ tấn công.

Chi tiết chính xác của lỗ hổng đang được giữ lại cho đến khi đủ số người được vá. Sửa lỗi đã được phát ra vào đầu tháng ba, và từ khai thác trong tự nhiên đã xuất hiện trong tuần này. ®

Đã cập nhật để thêm

Trong một bài đăng trên blog ngày hôm nay, Google đã tiết lộ thêm một vài chi tiết tại đây. Nó cũng cảnh báo rằng họ đã phát hiện ra một sự leo thang đặc quyền cục bộ trong trình điều khiển nhân Windows win32k.sys có thể được sử dụng như một lối thoát hộp cát bảo mật, chủ yếu ảnh hưởng đến Windows 7. Bảo vệ an ninh trong các phiên bản Windows hiện đại chặn các nỗ lực khai thác.

Lỗ hổng là một sự bổ nhiệm của con trỏ NULL trong win32k!

Google đã phát hiện ra các cuộc tấn công tích cực tận dụng lỗ hổng leo thang đặc quyền này đối với các hệ thống Windows 7 32 bit. Microsoft vẫn đang nghiên cứu một bản vá cho lỗi này, vì vậy hãy theo dõi để cập nhật sớm. Hoặc nâng cấp lên Windows 10, ChromeOS, Linux, hãy lựa chọn.

www.extremehacking.org

Sadik Shaikh | Cyber ​​Suraksha Abhiyan, Viện đào tạo hack đạo đức, CEHv10, CHFI, ECSAv10, CAST, ENSA, CCNA, CCNA AN NINH, MCITP, RHCE, CHECKPOINT, ASA FIREWALL, MẠNG, CÁCH MẠNG Hacking đạo đức, Trung tâm đào tạo an ninh nâng cao ở Ấn Độ, khóa ceh v10 ở Pune-Ấn Độ, chứng nhận ceh ở pune-Ấn Độ, đào tạo ceh v10 ở Pune-Ấn Độ, Khóa học đạo đức ở Pune-Ấn Độ


nguon http://blog.extremehacking.org/blog/2019/03/08/put-down-the-cat-coffee-beer-pint-martini-whatever-youre-holding-and-make-sure-youve-updated-chrome-unless-you-enjoy-being-hacked/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây