近日,谷歌Chrome和Firefox均迎来了新版本发布。
Chrome78 和 FireFox 70开放下载,两家浏览器在视觉面貌上都焕然一新。
Chrome78引入密码检查工具,FireFox 70则带有浏览器数据泄露通知。
此外也修复了一些高危漏洞,这些漏洞都可能导致执行任意代码。
本次谷歌Chrome的更新中包含了37个安全修复程序,其中CVE-2019-13699是隐藏在媒体文件中一个高危的 use-after-free漏洞。目前尚未透露此漏洞的详细信息,但研究人员表示,成功利用此漏洞使攻击者能够在浏览器的上下文中执行任意代码,获取敏感信息,绕过安全限制并执行未经授权的操作或导致拒绝服务情况。此更新中还修复了其他两个高危漏洞,即CVE-2019-13700和CVE-2019-13701,前者是Blink中的缓冲区溢出漏洞,后者是 navigation中的URL spoof漏洞。此外,Google还修补了一些中低级别的bug,范围从特权升级到越界读取和缓冲区溢出。
Firefox修复的漏洞名为CVE-2019-11764,类型是内存破坏漏洞,只要被黑客利用,则可执行任意代码。根据MS-ISAC指出,该漏洞的影响取决于特权级别,政府机构和大中型企业面临的风险最大。此外,Mozilla还通过该更新修补了其他许多漏洞,其中有三个严重级别被评为高,五个被评为中等。其中高危漏洞包括expat库中的堆溢出漏洞CVE-2019-15903、缓冲区溢出漏洞CVE-2019-11758和use-after-free漏洞CVE-2019-11757。MS-ISAC建议立即进行修补,并提醒用户不要访问不受信任的网站或链接。
* 本文由看雪编辑 LYA 编译自 Threat Post,转载请注明来源及作者。