Разработчики браузера Chrome сообщили, что в версии 72.0.3626.121 (вышла 1 марта 2019 года) была устранена опасная уязвимость нулевого дня: CVE-2019-5786.

Так как на момент выхода патча данную проблему уже эксплуатировали злоумышленники, пользователей Windows, macOS и Linux призывают обновиться как можно быстрее.

Специалисты описывают проблему, как баг в управлении памятью в компоненте FileReader (API, присутствующий практически во всех современных браузерах и позволяющий веб-приложениям читать содержимое файлов, хранящихся локально, на устройстве пользователя).

Уязвимость относится к типу use-after-free и позволяет атакующему выполнить произвольный код в контексте браузера. В зависимости от привилегий, злоумышленник может устанавливать приложения, подменять или удалять данные, создавать новые учетные записи. Судя по всему, для осуществления атаки хакеру будет достаточно заманить свою жертву на вредоносную веб-страницу, и дальнейшее взаимодействие с пользователем не потребуется.

Хотя сами разработчики Google пока не слишком вдавались в технические аспекты проблемы, об опасности бага уже предупредили и другие эксперты. К примеру, глава компании Zerodium Чауки Бекрар (Chaouki Bekrar) пишет, что уязвимость позволяет осуществить побег из песочницы Chrome и выполнять произвольные команды уже в контексте ОС.