您的位置:首页 >科技 >

谷歌在主动攻击下显示Chrome零日

2019-03-06 19:28:17来源:zdnet

谷歌昨天透露,上周针对Chrome的补丁实际上是针对零日攻击活动的修复。

这些攻击利用了CVE-2019-5786,这是一个安全漏洞,也是2019年3月1日上周五发布的Chrome 72.0.3626.121版本中唯一的补丁。

根据其原始公告的更新和Google Chrome安全主管的推文,补丁发布时,修补后的错误处于主动攻击状态。

谷歌将安全漏洞描述为谷歌Chrome的FileReader中的内存管理错误 -所有主流浏览器中都包含一个Web API,允许Web应用程序读取存储在用户计算机上的文件内容。

更具体地说,该漏洞是一种免费使用后漏洞,一种应用程序在从Chrome分配的内存中释放/删除内存后尝试访问内存时发生的一种内存错误。对此类内存访问操作的错误处理可能导致恶意代码的执行。

根据漏洞供应商Zerodium的首席执行官Chaouki Bekrar的说法,CVE-2019-5786漏洞据称允许恶意代码逃脱Chrome的安全沙箱并在底层操作系统上运行命令。除了揭露剥削尝试之外,浏览器制造商还对发现该漏洞的安全研究人员表示赞赏 - 谷歌威胁分析小组的Lecigne元素。

微软安全工程师Matt Miller上个月在以色列举行的一次安全会议上表示,微软每年发布的安全漏洞中大约有70%是内存安全错误,就像Chrome团队上周补丁一样。

大多数错误来自使用C和C ++,两种“内存不安全”的编程语言,也用于Chromium源代码,这是Google Chrome所基于的开源项目。

建议Google Chrome用户使用浏览器的内置更新工具触发72.0.3626.121版本的更新。用户应立即执行此操作,尤其是当建议来自Google Chrome的安全主管时。