週五, 十一月 15, 2019

Latest News

Blog & Social Extension

 

11 月 4 日消息,Google Chrome 瀏覽器被發現存在兩處高危險漏洞。漏洞允許駭客進行特權提升,進而對使用者電腦進行高級別的惡意攻擊。

Chrome 安全小組表示,use-after-free 形式漏洞允許駭客在受感染裝置上執行任意代碼。其中一個漏洞存在於瀏覽器的音頻組件(CVE-2019-13720)中,而另一個存在於 PDFium 庫(CVE-2019-13721)中。Windows、macOS 和 GNU / Linux 三大平台版本均受影響。

這兩個漏洞的嚴重程度都很高,兩者均允許駭客在 Chrome 瀏覽器中執行任意代碼、獲得敏感資訊甚至繞過主機未經授權的安全機製完全操控電腦。

兩個漏洞中 CVE-2019-13720 已經被駭客利用。據卡巴斯基稱,該漏洞被駭客用於進行水坑攻擊(也稱 WizardOpium)的活動。攻擊疑似來自 Darkhotel 的網軍,其入侵了一個南韓網站,並掛上了 js 腳本。

在此次攻擊中,漏洞利用代碼進行了混淆處理,而該代碼還有很多的調試代碼。該 0Day 利用兩個線程之間缺少適當的同步這一特點,造成競爭條件錯誤,這使得攻擊者處於網站權限的解放狀態,從而導致越權代碼的執行。

目前,Google 已經發布這兩個漏洞的緊急修補程式並修復漏洞,Chrome 瀏覽器穩定版已經升級至 78.0.3904.87,建議所有 Chrome 使用者盡快升級至最新版本。

 

SHARE