Den 27 februari rapporterade Google om två dag noll-buggar – bägge aktiva i det vilda, och tidigare okända. Den ena påverkar webbläsaren Chrome (CVE-2019-5786) och den andra Windows, men de utnyttjas tillsammans av cyberkriminella.

Google släppte för sin del en fix till Chrome, version 72.0.3626.121, den 1 mars, men de kan inte göra så mycket åt buggen i Windows som MIcrosoft enligt uppgift arbetar på att ta fram en fix för. Vad Google kan se påverkar buggen endast 32-bitars-versioner av Windows 7.

Buggen i Windows 7 ger lokal privilegieeskalering i Windows win32.sys kärn-drivrutinen och kan utnyttjas för att komma ur den säkerhetssandlåda som Chrome exekverar inom. Sårbarheten i fråga är ett NULL-pekar-fel som under vissa omständigheter kan uppstå i win32k!MNGetpItemFromIndex när systemanropet NtUserMNDragOver() anropas.

Clement Lecigne skriver på Googles officiella säkerhetsblogg att de rapporterat Windows-buggen till Microsoft, men att de nu även går ut publikt om dess existens, eftersom de anser att det är fråga om en allvarlig sårbarhet som aktivt utnyttjas i det vilda. Microsoft har svarat Google att de arbetar på att ta fram en fix.

Men Google går även så långt att de rakt ut rekommenderar användare av Windows 7 att överge det äldre operativsystemet och uppgradera till Windows 10. Dessa buggar, menar Google, så långt de kan se, kan inte utnyttjas i Windows 10.

Google å sin sida har, enligt Bleeping Computer, missat att informera användarna om att det inte räcker att uppdaterar Chrome till version 72.0.3626.121, men måste även starta om webbläsaren, annars laddas den nya koden inte in. Detta sker oftast manuellt, till skillnad från själva nedladdningen och installationen av koden.

Läs också:
Google patchar aktiv dag-noll-attack mot Chrome
Läcka inom Microsoft: Kommande Edge använder Chrome-tillägg