谷歌督促 Chrome 浏览器用户尽快更新,原因是开源浏览器引擎 Blink 中被曝高危的释放后使用缺陷 (CVE-2019-5869),可导致攻击者执行代码并执行其它恶意攻击。
浏览器引擎是所有主流浏览器的核心所在,它们的主要作用是将 HTML 文档和其它网页资源转变为用户设备上的可见表示。Blink 搜索引擎于2013年首次发布,作为 Chromium 项目的一部分开发而成,具有安卓操作系统和 Chromium Embedded Framework (广泛用于 Adobe 软件和流服务如 Spotify 中)使用的可重用软件框架。
如何利用
研究人员警告称,如漏洞遭成功利用,可导致攻击者在浏览器上下文中执行任意代码、获取敏感信息、绕过安全限制并执行越权动作或者引发拒绝服务条件。美国互联网安全中心在安全公告中指出,“根据该应用程序所关联的权限情况,攻击者能够安装程序;查看、更改或删除数据;或者以完整的用户权限创建新账户。如该应用程序被配置为在系统上更少的用户权限,那么相比配置为管理员权限而言,利用其中最严重的漏洞产生的影响较低。”
虽然目前尚不知晓该漏洞存在于 Blink 浏览器引擎中具体哪个部分,但多个安全公告确实将其归类为释放后使用缺陷,它是一种具体的内存损坏漏洞,试图在内存释放后进行访问,可导致程序崩溃或任意代码执行的后果。
互联网安全中心指出,如果用户访问或被重定向至特殊构造的网页,那么该漏洞即可遭利用。因此,攻击者能够远程设置此类网页,之后说服潜在受害者进行访问,从而达到远程攻击受害者系统的目的。
影响版本
该缺陷影响76.0.3809.132以前的所有 Chrome 浏览器版本。谷歌已督促用户更新至适用于 Windows、Mac和 Linux 系统的76.0.3809.132 版本。不过,研究人员指出,目前尚未发现该漏洞遭利用的情况。
互联网安全中心指出,该漏洞对大中型政府和企业实体的风险等级为高,对小型政府和企业实体的风险等级为中,对家庭用户的风险等级为低。
总体而言,谷歌Chrome 76.0.3809.132 更新解决了三个安全问题,虽然只说明了Blink引擎中的释放后使用缺陷。其它两个补丁情况尚不明确。
Blink 浏览器引擎中曾被曝其它漏洞。2018年,某漏洞导致恶意人员能够使用视频和音频 HTML 标记和网站中的过滤功能暴露存储在 Facebook、谷歌和其它平台中的私密数据。
修复建议
互联网安全中心建议采取如下措施:
适当测试后立即应用谷歌推出的易受攻击系统的稳定版更新
以非权限用户(不具有管理员权限)身份运行所有的软件,以降低成功攻击的影响
提醒用户不要访问不可信网站或者点击未知或不可信来源提供的链接
通知并教育用户关于点击邮件和附件中包含的超链接带来的威胁,尤其是当邮件及附件源自不可信来源时
对所有系统和服务应用最小权限原则
原文链接
https://threatpost.com/google-high-severity-blink-browser-engine-flaw/147770/
https://www.cisecurity.org/advisory/a-vulnerability-in-google-chrome-could-allow-for-arbitrary-code-execution_2019-086/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。