Next

谷歌Chrome浏览器曝0day漏洞,请立即开始检查更新
保持所有软件的最新版本是个明智的选择,但是开发人员不会经常向所有用户施加压力,他们应该尽快放弃目前使用的产品并尽快...
扫描右侧二维码阅读全文
08
2019/03

谷歌Chrome浏览器曝0day漏洞,请立即开始检查更新

保持所有软件的最新版本是个明智的选择,但是开发人员不会经常向所有用户施加压力,他们应该尽快放弃目前使用的产品并尽快最更新。但这正是谷歌本周所做的事情,威胁分析小组Clement Lecigne 的 一篇博文 中透露,在Chrome中发现了两个0day漏洞。

在2019年2月27日首次报道后,谷歌很快在3月1日也就是两天后发布了此次更新解决这个漏洞问题。您的Chrome浏览器很可能会自动更新,但如果您想查看当前版本是多的话,请打开 帮助 > 关于Google Chrome 并确保您使用的是 72.0.3626.121 。如果不是,请立即更新。

Chrome安全工程师Justin Schuh周三在一系列推文中所解释的那样,这次攻击不同于以往针对Chrome的攻击,因为这次攻击的目标不是Flash,而是直接针对Chrome代码。

目前Chrome漏洞 CVE-2019-5786 ,是浏览器的FileReader API中的 Use After Free 漏洞,属于高危漏洞,潜在的攻击者可以使用该漏洞制作恶意的网页,这些网页旨在允许他们通过Chrome FileReader API在访问者的计算机上使用以前释放的内存来执行任意代码并接管设备或触发拒绝服务条件。Google在第一时间知道此事后,已并在上周五释出了更新(版本号72.0.3626.121)版本,最近Chrome安全研究人员在Twitter上建议用户应尽快更新浏览器。

截至昨天,根据谷歌安全研究员的说法,这一漏洞是Windows win32k.sys内核驱动程序中的本地权限升级,可用作安全沙箱转移。据谷歌的发现,由于新版本的Windows中已经添加了应对漏洞的预防措施,这一漏洞仅对Windows 7 32位操作系统产生影响。如果你使用的是Windows 10(或者是Windows 8),倒是能够免受于难。

谷歌表示,先前已经向微软报告了这一漏洞,现在根据披露规则,将漏洞信息公开。微软已经表示正在修复此问题,但在获得修复之前,这一提权漏洞仍可以用来和浏览器漏洞结合,躲过安全沙箱。

作为针对此漏洞的缓解建议,谷歌安全研究员在文末说“如果用户仍在运行较旧版本的Windows,应考虑升级到Windows 10,并在微软的Windows补丁可用的时候予以应用”。

然而,承担任何风险是没有意义的,所以请确定您的浏览器是最新的,如果不是,请尽快更新浏览器。

Last modification:March 9th, 2019 at 05:13 pm
If you think my article is useful to you, please feel free to appreciate

Leave a Comment