Förra veckan, fredagen den 1 mars, släppte Google uppdateringen 72.0.3626.121 för webbläsaren Chrome. Uppdateringen innehöll endast en enda patch. Nu avslöjar Google på sin chrome-blogg att syftet med uppdateringen egentligen var att stoppa en aktiv dag-noll-attack med sårbarhetskoden CVE-2019-5786, skriver ZDNet.

Enligt Google är sårbarheten en bug i Chromes minneshantering relaterad till api:t FileReader. Detta api finns i alla vanliga webbläsare och är till för att webbapplikationer ska kunna läsa filer på användarens dator. Buggen är ett typ av minnesfel som kan inträffa om en applikation försöker komma åt minnet efter att minnesarean avallokerats av Chrome. En felaktig hantering av denna typ av minnesaccess kan resultera i exekvering av skadlig kod.

CVE-2019-5786 kan göra att skadlig kod kan komma runt Chromes säkra sandlåda och köra kommandon i det underliggande operativsystemet. På sätt och vis beror fel av denna typ på att utvecklarna utvecklar koden i C eller C++, språk som kräver att utvecklaren håller minnestungan rätt i mun, men ger också snabba applikationer. Chromes renderingsmotor Chromium är byggt i dessa språk.

Användare av Chrome rekommenderas att skyndsamt uppdatera till version 72.0.3626.121 genom det inbygga uppdateringssystemet.

Läs också:
Chrome tar efter Firefox och Safari – skapar bakåtknapp på steroider
Google backar om annonsblockering – modifierar sitt nya api