再次提醒Google Chrome使用者應儘快升級瀏覽器到72.0.3626121
谷歌已經確認最近Google Chrome的更新是用來修補流行瀏覽器中的0day漏洞,這是一種可被用於主動攻擊的漏洞,官方建議macOS,Windows和Linux上的所有Chrome使用者儘快更新其安裝。3月1日釋出的Chrome補丁包含一個安全漏洞修復程式,標識為CVE-2019-5786。
本次更新僅修復了該問題而未對瀏覽器進行其他更改,可見問題相當迫切,最新版本在三個平臺上都已經是72.0.3626121。
安全漏洞影響了Chrome的所有桌面版本,但對於 Windows 使用者來說尤其如此,瀏覽器的漏洞被主動用作對Windows的更復雜攻擊的一部分。
谷歌更新了該補丁的公告,明確表示Chrome的攻擊方法已經“在外流傳”。 Google Chrome安全主管賈斯汀·舒赫(Justin Schuh)向Twitter釋出了有關該漏洞存在的建議並建議使用者使用新補丁更新瀏覽器。
該漏洞主要源於Chrome的FileReader API存在記憶體管理錯誤,該錯誤允許網路應用讀取桌面上的本地檔案。具體來說,當Web應用程式嘗試訪問已從Chrome分配的記憶體中釋放或刪除的記憶體時,這是一個稱為“釋放後使用”漏洞的記憶體錯誤,該漏洞使惡意程式碼能夠被執行。
Google威脅分析小組的Clement Lecigne被認為是發現該漏洞的研究人員。Google Chrome for iOS不受安全漏洞的影響。