当前位置:安全资讯 >> 全文

马上更新!Chrome 又被曝高危0day RCE 漏洞且已遭利用

发布时间:2019-3-7 8:53 标签: 0day Chrome,RCE
分享到 0

赶快把 Chrome web 浏览器更新至最新版本吧!谷歌威胁分析团队的研究员 Clement Lecigne 在上个月月末发现并报告了一个高危漏洞,可导致远程攻击者执行任意代码并完全控制计算机。

该漏洞的编号是 CVE-2019-5786,影响所有操作系统上的 Chrome 软件,包括微软 Windows、苹果 macOS Linux 系统。

Chrome 安全团队并未公布漏洞详情,只是表示该问题是存在于 Chrome 浏览器 FileReader 组件中的一个使用后释放漏洞,可导致远程代码执行攻击。

更让人担心的是,谷歌警告称这个 0day RCE 漏洞已遭利用。Chrome 安全团队表示,“在大多数用户应用修复方案前会持续限制对漏洞详情和链接的访问。如果这个 bug 存在于其它项目依赖的第三方库中但未修复的话,将继续保持这种限制。”

FileReader 是一个标准的 API,旨在允许 web 应用程序异步读取存储在用户计算机上文件(或原始数据缓冲区)的内容,通过 File Blob 对象指定要读取的文件或数据。

这个使用后释放漏洞是一类内存损坏 bug,允许损坏或修改内存中的数据,使得低权限用户能够在受影响的系统或软件上提升权限。它可导致低权限攻击者获取 Chrome web 浏览器上的权限,逃逸沙箱保护并在目标系统上执行任意代码。

要利用该漏洞,攻击者所需的只是诱骗受害者打开、或者将它们重定向至一个特殊构造的网页,而无需任何进一步的交互。

Chrome update 72.0.3626.121 WindowsMac Linux 操作系统版本中已修复该漏洞,用户可能已经收到或者将在数天内收到补丁。

因此,一定要确保系统运行的是更新后的 Chrome web 浏览器版本。

我们将持续关注事态进展。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://thehackernews.com/2019/03/update-google-chrome-hack.html
参与讨论,请先 登录 | 注册

用户评论