谷歌已經確認最近 Google Chrome 的更新是用來修補流行瀏覽器中的 0day 漏洞,這是一種可被用於主動攻擊的漏洞,官方建議 macOS,Windows 和 Linux 上的所有 Chrome 用戶儘快更新其安裝。
3月1日發佈的 Chrome 補丁包含一個安全漏洞修復程序,標識為 CVE-2019-5786。本次更新僅修復了該問題而未對瀏覽器進行其他更改,可見問題相當迫切,最新版本在三個平臺上都已經是 72.0.3626121。
安全漏洞影響了 Chrome 的所有桌面版本,對於 Windows 用戶來說尤其如此,瀏覽器的漏洞被主動用作對 Windows 的更復雜攻擊的一部分。
谷歌更新了該補丁的公告,明確表示 Chrome 的攻擊方法已經“在外流傳”。 Google Chrome 安全主管賈斯汀·舒赫(Justin Schuh)向 Twitter 發佈了有關該漏洞存在的建議,並督促用戶儘快使用新補丁更新瀏覽器。
該漏洞主要源於 Chrome 的 FileReader API 存在內存管理錯誤,該錯誤允許網絡應用讀取桌面上的本地文件。具體來說,當 Web 應用程序嘗試訪問已從 Chrome 分配的內存中釋放或刪除的內存時,這是一個稱為“釋放後使用”漏洞的內存錯誤,該漏洞使惡意代碼能夠被執行。
Google 威脅分析小組的 Clement Lecigne 被認為是發現該漏洞的研究人員。Google Chrome for iOS 不受安全漏洞的影響。
來自:cnBeta
分享到:
閱讀更多 IT技術之家 的文章
