信息來源:HackerNews
強(qiáng)烈建議:Chrome用戶請(qǐng)盡快升級(jí)瀏覽器�!在谷歌今天發(fā)布的緊急補(bǔ)丁程序中修復(fù)了兩個(gè)嚴(yán)重的零日漏洞,而其中一個(gè)已經(jīng)被黑客利用����。Chrome安全小組表示�,這兩個(gè)漏洞均為use-after-free形式,允許黑客在受感染設(shè)備上執(zhí)行任意代碼�����。其中一個(gè)漏洞存在于瀏覽器的音頻組件中���,而另一個(gè)存在于PDFium庫中���。Windows、macOS和GNU/Linux三大平臺(tái)版本均受影響�����。
互聯(lián)網(wǎng)安全中心警告說:“在Google Chrome中發(fā)現(xiàn)了多個(gè)漏洞”��,并表示CVE-2019-13720和CVE-2019-13721的嚴(yán)重等級(jí)都很高����。在后續(xù)警告中寫道:“這兩個(gè)漏洞允許攻擊者在瀏覽器中執(zhí)行任意代碼�����、獲取敏感信息���,繞過安全限制并執(zhí)行未經(jīng)授權(quán)的操作或?qū)е戮芙^服務(wù)情況”。
Google Chrome小組在博客中說�����,穩(wěn)定版已經(jīng)升級(jí)至78.0.3904.87�,修復(fù)了這兩個(gè)問題:
此更新包括2個(gè)安全修復(fù)程序。下面����,我們重點(diǎn)介紹由外部研究人員提供的修復(fù)程序。請(qǐng)參閱Chrome安全性頁面以獲取更多信息����。
1、[$7500] [1013868]高CVE-2019-13721:PDFium組件中的Use-after-free����。由 banananapenguin在2019-10-12報(bào)道。
2、[$TBD] [1019226]高CVE-2019-13720:音頻組件中的Use-after-free����。卡巴斯基實(shí)驗(yàn)室的Anton Ivanov和Alexey Kulaev于2019-10-29報(bào)道
谷歌承認(rèn)已經(jīng)有黑客利用CVE-2019-13720漏洞向Chrome用戶發(fā)起攻擊�����。目前尚無法披露有關(guān)安全漏洞的詳細(xì)信息���。
