马上更新!Chrome 又被曝高危0day RCE 漏洞且已遭利用
编译:360代码卫士团队
赶快把 Chrome web 浏览器更新至最新版本吧!谷歌威胁分析团队的研究员 Clement Lecigne 在上个月月末发现并报告了一个高危漏洞,可导致远程攻击者执行任意代码并完全控制计算机。
该漏洞的编号是 CVE-2019-5786,影响所有操作系统上的 Chrome 软件,包括微软 Windows、苹果 macOS 和 Linux 系统。
Chrome 安全团队并未公布漏洞详情,只是表示该问题是存在于 Chrome 浏览器 FileReader 组件中的一个使用后释放漏洞,可导致远程代码执行攻击。
更让人担心的是,谷歌警告称这个 0day RCE 漏洞已遭利用。Chrome 安全团队表示,“在大多数用户应用修复方案前会持续限制对漏洞详情和链接的访问。如果这个 bug 存在于其它项目依赖的第三方库中但未修复的话,将继续保持这种限制。”
FileReader 是一个标准的 API,旨在允许 web 应用程序异步读取存储在用户计算机上文件(或原始数据缓冲区)的内容,通过‘File’或‘Blob’对象指定要读取的文件或数据。
这个使用后释放漏洞是一类内存损坏 bug,允许损坏或修改内存中的数据,使得低权限用户能够在受影响的系统或软件上提升权限。它可导致低权限攻击者获取 Chrome web 浏览器上的权限,逃逸沙箱保护并在目标系统上执行任意代码。
要利用该漏洞,攻击者所需的只是诱骗受害者打开、或者将它们重定向至一个特殊构造的网页,而无需任何进一步的交互。
Chrome update 72.0.3626.121 的 Windows、Mac 和 Linux 操作系统版本中已修复该漏洞,用户可能已经收到或者将在数天内收到补丁。
因此,一定要确保系统运行的是更新后的 Chrome web 浏览器版本。
我们将持续关注事态进展。
推荐阅读
原文链接
https://thehackernews.com/2019/03/update-google-chrome-hack.html
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。