昨天即万圣节前夜,谷歌工程师放了一个“重磅炸弹”,为 Chrome 浏览器发布紧急更新,修复已遭利用的一个 0day。

已遭不明黑客组织利用的 0day

谷歌工程师在发布新版本 78.0.3904.87 时在博客文章中表示,“谷歌了解到在野存在利用 CVE-2019-13720 漏洞的多份报告”。这个0day 被指是存在 Chrome 音频组件中的一个释放后使用漏洞。谷歌感谢卡巴斯基实验室的两名恶意软件研究员 Anton Ivanov 和 Alexey Kulaev提交漏洞报告。研究员目前尚不清楚利用这个0day 漏洞的黑客组织身份。

另外一个高危漏洞

同时,这个新版本还修复了另外一个高危漏洞 CVE-2019-13721,它存在于 PDFium 库中。谷歌并未提及关于这两个高危漏洞的任何详情。谷歌表示如果多数用户未更新版本或者上文提到的0day 漏洞存在于其他项目依靠的第三方库中但尚未修复,则不会发布漏洞详情。

释放后使用漏洞是内存损坏类漏洞,当应用程序试图引用此前未分配给它但同时已经被释放或删除的内存时就会触发这类漏洞。它通常会导致程序崩溃,但有时候也会导致产生其它后果。因此这两个漏洞可导致攻击者仅通过说服目标用户访问恶意网站的方式就可获取 Chrome 浏览器的权限,从而逃逸沙箱保护措施并在目标系统上运行任意的恶意代码。

3月份,谷歌曾在Chrome 72,0.3626.121 版本中想修复了另外一个 Chrome 0day 漏洞 CVE-2019-5786,当时它被和一个 Windows 7 0day (CVE-2019-0859)漏洞(当时在四月份补丁星期二修复)一起使用。4月份,卡巴斯基表示,这两种利用都遭到尚未被命名的某 APT 组织的利用。

3月份发现的这个Chrome 0day 也是一个释放后使用漏洞。目前尚不清楚刚刚修复的这个 0day 漏洞是否被用于攻击 Chrome 用户,还是另外一个更加复杂的利用链的一部分,就像3月份发现的那个 0day一样。

卡巴斯基尚未对此作出任何回应。

建议立即更新

Chrome 78.0.3904.87 目前已存在 Windows、Mac 和 Linux 版本。该版本将会在未来几周内缓慢向全部用户推出,不过目前用户可访问浏览器的 Help→About Google Chrome 部分立即手动更新至最新版本。

另外,建议Chrome 用户以非权限用户运行系统上的所有软件以降低该 0day 漏洞的影响。

我们将持续跟进事态进展。

原文链接

https://www.zdnet.com/article/halloween-scare-google-discloses-chrome-zero-day-exploited-in-the-wild/

https://thehackernews.com/2019/11/chrome-zero-day-update.html

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。