3 月 7 日消息,Google 威胁分析团队的研究员 Clement Lecigne 在 Chrome 中发现并报告了一个高危险漏洞,可导致远程攻击者执行任意程式码并完全控制电脑。
研究人员称,此次 Chrome 的漏洞编号为 CVE-2019-5786,受影响的系统包括微软 Windows、苹果 macOS 和 Linux 系统。该漏洞存在于 API FileReader 中,它旨在允许 web 应用程序异步读取储存在用户电脑上的文件(或者原始资料缓冲区)内容。
Google discovered a Chrome RCE #0day in the wild (CVE-2019-5786). Reportedly, a full chain with a sandbox escape: https://t.co/Nxfrvr5wIh
In 2019, I expect epic 0days to be found in the wild: Android, iOS, Windows, Office, virtualization, and more. Stay safe and enjoy the show.
— Chaouki Bekrar (@cBekrar) 2019年3月6日
此次漏洞属于 UAF 漏洞,骇客恶意利用它毁坏或篡改内存资料,这种攻击方式可以满足低权限者获取到高级用户权限。由此,Chrome 上的 web 权限可以被轻松获取,逃逸沙箱保护并在目标系统上执行任意程式码。
“这次漏洞的攻击成功率很高,因为骇客无需做任何高难度的攻击操作,只需要用诱导文件促使用户打开或重定向到一个特定网页即可。”
据称,目前 Chrome update 72.0.3626.121 的 Windows、Mac 和 Linux 操作系统版本中已修复该漏洞,用户可能已经收到、或者将在数天内收到修补程式。
因此,一定要确保系统执行的是更新后的 Chrome web 浏览器版本。
(本文由 雷锋网 授权转载;首图来源:pixabay)
