谷歌Chrome新的零日漏洞被发现在野外被积极利用

安全研究员克莱门特·莱辛上个月底，谷歌威胁分析小组的成员发现并报告了Chrome中的一个严重漏洞，该漏洞可能允许远程攻击者执行任意代码并完全控制计算机。

该漏洞被指定为CVE-2019-5786，影响所有主要操作系统（包括Microsoft Windows、Apple macOS和Linux）的网络浏览软件。

Chrome安全团队没有透露漏洞的技术细节，只是表示问题在于Chrome浏览器的FileReader组件中存在释放后使用漏洞，导致远程代码执行攻击。

还有什么更令人担忧？谷歌警告称，攻击者正积极利用这一零日RCE漏洞攻击Chrome用户。

 

Chrome安全团队指出：“在大多数用户更新补丁之前，对漏洞细节和链接的访问可能会受到限制”。“如果漏洞存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留限制”。

FileReader是一种标准API，它的设计目的是允许web应用程序异步读取存储在用户计算机上的文件（或原始数据缓冲区）的内容，使用“File”或“Blob”对象指定要读取的文件或数据。
释放后使用漏洞是一类内存损坏漏洞，允许损坏或修改内存中的数据，使未经授权的用户能够升级受影响系统或软件的权限。
FileReader组件中的释放后使用漏洞可能会使未经授权的攻击者获得Chrome web浏览器的权限，从而使他们能够逃避沙箱保护，并在目标系统上运行任意代码。

它似乎利用了这个漏洞，攻击者只需诱使受害者打开或重定向到精心制作的网页，而无需进一步交互。

该安全漏洞的补丁已经以稳定的方式向用户推出Chrome更新72.0.3626.121对于Windows、Mac和Linux操作系统，用户可能已经收到或即将收到。

因此，请确保您的系统正在运行更新版本的Chrome web浏览器。

一旦谷歌发布该漏洞的技术细节，我们将立即更新这篇文章。