新Chrome 0天漏洞受到主动攻击；现在更新你的浏览器！

随着Chrome 78.0.3904.87的发布，谷歌警告数十亿用户立即安装紧急软件更新，以修补两个高度严重的漏洞，其中一个漏洞正被攻击者在野外积极利用，劫持计算机。

Chrome安全团队没有透露漏洞的技术细节，只是表示这两个问题都是在释放漏洞后使用的，其中一个影响Chrome的音频组件(CVE-2019-13720)而另一个则在PDFium中(CVE-2019-13721)图书馆。

释放后使用漏洞是一类内存损坏问题，允许损坏或修改内存中的数据，使未经授权的用户能够升级受影响系统或软件的权限。

因此，这两个漏洞都可能使远程攻击者通过说服目标用户访问恶意网站，从而获得Chrome web浏览器的权限，从而使他们能够逃避沙箱保护，并在目标系统上运行任意恶意代码。

谷歌Chrome零日受到主动攻击

卡巴斯基研究人员安东·伊万诺夫（Anton Ivanov）和阿列克谢·库拉耶夫（Alexey Kulaev）发现并报道了Chrome应用程序中的音频组件问题，发现该问题在野外被利用，但目前尚不清楚具体是哪一组黑客。

谷歌Chrome安全团队在一篇博客文章中表示：“谷歌知道有报道称，存在对CVE-2019-13720的攻击。”。

“在大多数用户更新修复程序之前，对漏洞详细信息和链接的访问可能会受到限制。如果漏洞存在于其他项目同样依赖的第三方库中，但尚未修复，我们也会保留限制。”

免费使用问题是过去几个月在Chrome web浏览器中发现并修补的最常见漏洞之一。

就在一个多月前，谷歌发布了一项针对Chrome的紧急安全更新，在释放网络浏览器不同组件中的漏洞后，对总共四次使用进行修补，其中最严重的漏洞可能会让远程黑客控制受影响的系统。

今年3月，谷歌还发布了一个针对Chrome的紧急安全更新，此前发现有不法分子在野生环境下积极利用一个类似的免费Chrome零日使用漏洞，影响浏览器的FileReader组件。

Chrome 0天漏洞的技术细节

在谷歌发布Chrome浏览器紧急补丁更新以修复两个严重漏洞的第二天，网络安全公司卡巴斯基实验室（Kaspersky Labs）披露了关于该漏洞的更多技术细节，该漏洞已报告给谷歌，并被发现在野外被利用。

据研究人员称，攻击者破坏了一个韩语新闻门户网站。他们在该网站上植入了漏洞代码，就像一个水坑，用易受攻击的谷歌Chrome版本攻击其访客打开新闻门户的计算机。
据报道，该漏洞利用Chrome漏洞（CVE-2019-13720）在目标系统上安装第一阶段恶意软件，然后连接到硬编码的远程命令和控制服务器以下载最终有效负载。

被称为“巫师鸦片行动“研究人员尚未将网络攻击归因于任何特定的黑客群体。不过，研究人员发现，攻击代码与臭名昭著的Lazarus黑客组织有一些相似之处。

“到目前为止，我们还无法与任何已知的威胁行为体建立明确的联系。与Lazarus攻击存在某些非常微弱的代码相似性，尽管这些攻击很可能是虚假标志。目标网站的概况更符合早期的DarkHotel攻击，后者最近部署了类似的虚假标志攻击。”卡巴斯基说。

有关利用最近修补的Chrome漏洞进行的操作的更多详细信息，请参阅卡巴斯基刚刚发布的新报告。

可用补丁：立即更新谷歌浏览器

为了修补这两个安全漏洞，谷歌已经开始为Windows、Mac和Linux操作系统推出Chrome版本78.0.3904.87。

尽管Chrome web浏览器会自动通知用户最新的可用版本，但建议用户通过从菜单中转到“帮助→；关于Google Chrome”手动触发更新过程。

除此之外，还建议Chrome用户尽可能以非特权用户的身份在其系统上运行所有软件，以减少利用任何零日漏洞成功攻击的影响。

一旦谷歌发布这些安全漏洞的技术细节，我们将向您提供更多信息。