近期,谷歌发布了安全补丁,以解决Chrome中的两个严重漏洞,其中一个早已以“0day”的身份出现在互联网中,在近期的黑客攻击中被多次利用。
这两个漏洞被标记为CVE-2019-13720
和CVE-2019-13721
,分别和Chrome的音频组件、PDFIum库有关。
根据谷歌发布的报告:
[$7500][1013868] 高严重性 CVE-2019-13721:PDFIum中的Use-after-free
漏洞,由Banananapenguin于2019-10-12报告。
[$TBD][1019226] 高严重性 CVE-2019-13720报道:音频组件中的Use-after-free
漏洞,由卡巴斯基实验室的Anton Ivanov和Alexey Kulaev于2019年10月29日上报。
谷歌也表示他们清楚CVE-2019-13720
漏洞在互联网上的活跃。
这两个漏洞会影响多平台(Windows、Mac和Linux)的Chrome浏览器。谷歌已发布了最新版本78.0.3904.87
来修复漏洞,建议用户立即安装更新。
谷歌目前没有公开漏洞的具体细节,只知道这两个漏洞都可能被远程攻击者利用来提升在Chrome浏览器中的权限,以及沙盒逃逸。
“在大多数用户修复漏洞之前,我们不会放出漏洞的错误详细信息。如果有现行项目也依赖于存在漏洞的组件,我们也不会披露漏洞详细信息。”
攻击者可通过诱骗Chrome用户访问自定义的恶意网站来进行攻击,通过Chrome浏览器来执行恶意代码。
卡巴斯基研究人员anton ivanov和alexey kulaev报告了音频组件CVE-2019-13720的0day漏洞。据这两名安全人员透露,这一漏洞所滋生的攻击早已在互联网中被发现,不过研究人员并没有将攻击归咎于某个特定的个人或组织。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/93255/hacking/chrome-zero-day.html