安全资讯

在万圣节前夕,谷歌披露了在野外发现的 Chrome 0day 漏洞

凡凡 · 11月1日 · 2019年 71次已读

在万圣节前夕,谷歌发布了 Chrome 78.0.3904.87 来修补由卡巴斯基在野外发现的 Chrome 0day 漏洞。

Image: Google

在万圣节前夕 ,谷歌的工程师们发布了当晚最令人震惊的消息,并发布了一个 Chrome 浏览器的紧急更新,以修补一个被积极利用的 0day。

谷歌的工程师们在一篇发布新版本 v78.0.3904.87 的博客文章中说:“谷歌已经注意到关于 CVE-2019-13720 漏洞的报告。”

被积极利用的 0day 被描述为 Chrome 音频组件中一个无需使用的 bug。

谷歌赞扬了 Anton Ivanov 和 Alexey Kulaev 这两位来自卡巴斯基的恶意软件研究员,因为他们报告了这个问题。

UAF 漏洞是指当应用程序试图引用之前分配给它的内存,但在此期间已被释放或删除的内存时发生的内存损坏 bug。这通常会导致程序崩溃,但有时也会导致其他意想不到的后果。

今年 3 月,谷歌又发布了一个 Chrome 0day 补丁(Chrome 72.0.3626.121 中的 CVE-2019-5786),当时它与 Windows 7 的 0day 补丁(CVE-2019-0859,在 4 月份的补丁中修复)一起使用。今年 4 月,卡巴斯基表示,一个尚未命名的 APT 同时使用了这两种攻击。

三月 Chrome 0day 也是一个 UAF 漏洞。目前还不清楚最近的 Chrome 0day 是被自己用来发动对 Chrome 用户的攻击,还是像 3 月份的攻击一样,是更复杂的攻击链的一部分。

记者未能立即联系到卡巴斯基的发言人就此置评。

Chrome 78.0.3904.87 适用于 Windows、Mac 和 Linux。在接下来的几周内,这一版本将缓慢地向所有 Chrome 用户推出,但用户现在可以通过访问浏览器的 帮助 > 关于 Google Chrome 部分来触发手动更新。

相关文章
暂无相关文章!
0 条回应