又见Uaf漏洞,Google发布Chrome紧急安全更新
前不久Google把计算机版Chrome的一项安全措施也推到了安卓端上面。不过显然Chrome的安全性还是有待加强,就在昨天,Google就发布了一个针对Chrome浏览器两个漏洞的紧急更新。
Chrome 78.0.3904.87更新最主要的内容,是修复两个分别可以影响Chrome音频程序(CVE-2019-13720)以及隐藏于PDFium目录(CVE-2019-13721)的安全漏洞。根据Google的说法,两者都是属于释放后重用(Use-after-Free,下称UaF)的高危漏洞,且其中之一已经被黑客大量用于入侵及骑劫计算机。
UaF漏洞是内存损坏问题的其中一种,它可以让非法用户透过破坏或修改内存数据,来提升自己在该系统或软件的权限。
虽然Google并没有给出该两个漏洞的具体资料,但网络安全公司Kaspersky透露,这次黑客入侵了一个韩语新闻网站,并且把恶意代码以水坑攻击的形式藏起来,等待Chrome用户中招。
据称用户中招后,代码会透过利用CVE-2019-13720这个漏洞,把第一批的恶意软件安装到目标计算机上,之后恶意软件会连接到一个远程强制编码的命令与执行(Command-and-Control)服务器来下载余下的部分。
第一批shellcode
因此,上面提及的两个漏洞都可以让黑客通过诱使Chrome浏览器用户访问恶意网络,绕开沙盒的检查从而肆意在目标系统中运行恶意代码。
其实这已经不是第一次在Chrome上发现Uaf漏洞。就在一个月前,Google也发布过为修复4个Uaf漏洞而设的紧急安全更新,其中最严重的甚至可以让黑客完全控制被感染的计算机。这使得Uaf漏洞成为了Chrome浏览器上最近几个月来最常见的安全漏洞。
赞 (0)