谷歌揭示Chrome零日受到主动攻击

谷歌昨天透露，上周针对Chrome的补丁实际上是针对零日漏洞的修复，受到了积极的攻击。

这些攻击利用了CVE-2019-5786，它是一个安全漏洞，是2019年3月1日上星期五发布的Chrome 72.0.3626.121版本中包含的唯一补丁。

根据其原始公告的更新和Google Chrome浏览器安全领导的推文，该补丁的漏洞在发布补丁时受到了积极的攻击。

谷歌将安全漏洞描述为谷歌浏览器FileReader中的内存管理错误，该文件是所有主要浏览器中包含的Web API，可让网络应用读取用户计算机上存储的文件内容。

更具体地说，该错误是“释放后使用”漏洞，这是一种内存错误，当应用从Chrome分配的内存中被释放/删除后尝试访问内存时，就会发生这种错误。对这种类型的内存访问操作的不正确处理可能导致执行恶意代码。

根据漏洞利用厂商Zerodium的首席执行官Chaouki Bekrar的说法，据称CVE-2019-5786漏洞允许恶意代码逃脱Chrome的安全沙箱并在底层操作系统上运行命令。

Google 在野外发现了Chrome RCE #0day(CVE-2019-5786)。据报道，带有沙盒逃逸的完整链条：https :

//t.co/Nxfrvr5wIh在2019年，我希望可以在野外找到史诗般的0day：Android，iOS，Windows，Office，虚拟化等等。保持安全并欣赏表演。

-Chaouki Bekrar(@cBekrar)2019年3月6日

这家浏览器制造商除了揭示利用漏洞的尝试外，还称赞了发现漏洞的安全研究人员-Google威胁分析小组的Clement Lecigne。

上个月，微软安全工程师马特·米勒(Matt Miller)在以色列举行的一次安全会议上说，微软每年修补的所有安全漏洞中，大约有70%是内存安全错误，例如Chrome团队上周修补的错误。

大多数错误来自使用C和C ++这两种“内存不安全”的编程语言，它们也用于Chromium源代码，Chromium源代码是Google Chrome所基于的开源项目。

建议Google Chrome用户使用浏览器的内置更新工具来触发对72.0.3626.121版本的更新。用户应该立即执行此操作，尤其是当建议来自Google Chrome的安全主管时。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！