Coding 敏捷研发

谷歌证实Chrome零日漏洞 建议用户更新至72.0.3626.121版本

2019年03月07日 14:38 次阅读 稿源:cnBeta.COM 条评论

谷歌昨日证实,上周针对 Chrome 发布的更新,其实是对某个零日漏洞攻击的回应。由原始公告和 Chrome 安全主管发布的推文可知,攻击者能够利用 CVE-2019-5786 这个安全漏洞,而上周五(2019 年 3 月 1 日)发布的 Chrome 72.0.3626.121 更新,就包含了这个唯一的补丁。谷歌将该问题归咎于文件阅读器(FileReader)的内存管理 bug 。

image.png

其表示,各大主流浏览器都包含了一个 Web API,允许 Web 应用程序读取存储在用户计算机上的文件内容。确切点说,这是一个‘释放后使用’(use-after-free)漏洞:

Chrome 对分配给自己的内存进行了释放 / 删除,但另一款应用程序试图对这部分内容进行访问 —— 如果处理不当,可能会导致恶意代码执行。

曝光该漏洞的 Zerodium 首席执行官 Chaouki Bekrar 表示:CVE-2019-5786 漏洞允许恶意代码逃脱 Chrome 的安全沙箱,并在操作系统的底层上运行命令。

image.png

在承认错误的同时,谷歌方面还对发现该漏洞的安全研究人员表示了赞赏。

在上月于以色列举办的一场安全会议上,微软安全工程师 Matt Miller 曾表示:该公司每年通报的安全漏洞中,大约有 70% 都是内存安全 bug 。

显然,Google Chrome 上周处理的 CVE-2019-5786,这属于这方面的漏洞 —— 不过我们可以把大锅扣在 C 和 C++ 这两种“对内存操作不怎么安全”的编程语言头上。

作为一个开源项目,Google Chrome 和许多“套牌”浏览器都采用了基于 Chromium 的内核。而大部分开发者所使用的,都是 C 或 C++ 语言。

谷歌建议,为保上网安全,还请尽快通过浏览器内置的更新功能,将浏览器升级到最新的 72.0.3626.121 版本。

[via ZDNet]

Coding

活动入口:

Coding敏捷研发 - 研发产出提升20% 5人以下小团队免费

走进Verisign - 互联网根服务器的管理者/.com的守护者

对文章打分

谷歌证实Chrome零日漏洞 建议用户更新至72.0.3626.121版本

4 (21%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    热门评论

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan