首页 > 安全钻研 > 安全传递 > 安全公告

chrome在野利用0day缝隙安全公告

颁布功夫 2019-03-07

缝隙编号和级别

CVE编号：CVE-2019-5786，，，，，，，，危险级别：高危，，，，，，，， CVSS分值：官方未评定

影响领域

受影响版本：

Google Chrome < 72.0.3626.121

缝隙概述

Google Chrome是一款Web浏览器。。。。。。。。FileReader是其中的一个文件读取插件。。。。。。。。

该缝隙影响所有操作系统上的Chrome 软件，，，，，，，，蕴含微软 Windows、苹果 macOS 和 Linux 系统。。。。。。。。

更让人不安的是，，，，，，，，谷歌忠告称这个0day RCE缝隙已遭利用。。。。。。。。

Google Chrome 72.0.3626.121之前版本，，，，，，，，FileReader的实现中存在开释后沉用缝隙。。。。。。。。这个使用后开释缝隙是一类内存败坏bug，，，，，，，，允许败坏或批改内存中的数据，，，，，，，，使得低权限用户可能在受影响的系统或软件上提升权限。。。。。。。。它可导致低权限攻击者获取 Chrome web 浏览器上的权限，，，，，，，，逃逸沙箱保�；；；；；げ⒃谥副晗低成现葱兴烈獯�。。。。。。。。

要利用该缝隙，，，，，，，，攻击者所需的只是诱骗受害者打开、或者将它们沉定向至一个特殊机关的网页，，，，，，，，而无需任何进一步的交互。。。。。。。。

该缝隙由Google's Threat Analysis Group的Clement Lecigne于2019-02-27汇报，，，，，，，，目前没有颁布其它细节。。。。。。。。

比力两个版本的源代码，，，，，，，，发现third_party/blink/renderer/core/fileapi/file_reader_loader.cc有一些扭转。。。。。。。。在返回部门了局时复造ArrayBuffer以预防对统一个底层ArrayBuffer的多个引用。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

建复建议

使用chrome浏览器的用户请打开chrome://settings/help页面查看当前浏览器版本，，，，，，，，若是不是最新版(72.0.3626.121)会自动查抄升级，，，，，，，，沉启之后即可更新到最新版。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

参考链接

https://thehackernews.com/2019/03/update-google-chrome-hack.html

https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

https://chromium.googlesource.com/chromium/src/+/150407e8d3610ff25a45c7c46877333c4425f062%5E%21/#F0

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

软件升级

投资者关系