更新Google Chrome浏览器以修补新的关键安全漏洞

从本周三开始向全球用户推出Chrome77.0.3865.90该版本包含1个关键安全漏洞和3个高风险安全漏洞的安全补丁，其中最严重的漏洞可能允许远程黑客控制受影响的系统。

谷歌决定将这四个漏洞的详细信息再保密几天，以防止黑客利用它们，并给用户足够的时间安装Chrome更新。

目前，Chrome安全团队只透露，所有四个漏洞都是在web浏览器的不同组件中释放问题后使用的，如下所述，其中的关键漏洞可能会导致远程代码执行攻击。

释放后使用漏洞是一类内存损坏问题，允许损坏或修改内存中的数据，使未经授权的用户能够升级受影响系统或软件的权限。

Chrome 77.0.3865.90修补的漏洞

• 在用户界面（CVE-2019-13685）中免费使用；哈利勒·扎尼报道
• 在媒体上免费使用（CVE-2019-13688）Semmle安全研究团队Man Yue Mo报道
• 在媒体上免费使用（CVE-2019-13687）Semmle安全研究团队Man Yue Mo报道
• 在离线页面免费使用（CVE-2019-13686）Brendon Tiszka报道

谷歌已经向Semmle的Man Yue Mo支付了总计4万美元的奖金，奖励其漏洞和#8212$CVE-2019-13687为20000美元，CVE-2019-13688和8212为20000美元；而剩下的两个漏洞的漏洞补贴尚未决定。

成功利用这些漏洞可以让攻击者在浏览器上下文中执行任意代码，只需说服受害者打开或重定向到受影响的Chrome浏览器上精心制作的网页，而无需进一步交互。

根据之前的披露，释放漏洞后的使用还可能导致敏感信息泄露、绕过安全限制、未经授权的行为，并导致拒绝服务条件—；取决于与应用程序关联的权限。

虽然Google Chrome会自动通知用户最新的可用版本，但建议用户通过从菜单中转到“帮助→；关于Google Chrome”手动触发更新过程。

除此之外，我们还建议您尽可能以非特权用户的身份在系统上运行所有软件，以减少利用任何零日漏洞成功攻击的影响。