- A+
Web应用程序安全专家报告称, Chrome浏览器中出现了两个危险漏洞,此外还积极利用这些漏洞之一来控制受害者的计算机。
Windows,Mac和Linux操作系统的浏览器版本中存在安全漏洞,其用户必须将Chrome更新到几个小时前发布的最新版本(78.0.3904.87)。
尽管未报告有关这些安全漏洞的更多详细信息,但Chrome的Web应用程序安全专家提到,这两种都是安全漏洞的变体,称为先用后用 。 这些缺陷中的第一个(跟踪为CVE-2019-13720)影响浏览器音频组件,而第二个缺陷(CVE-2019-13721)位于PDFium库中。
根据Web应用程序安全专家的说法,释放后使用漏洞是允许黑客破坏或修改系统内存中数据的条件,它会生成必要的条件,以在目标环境中执行特权升级。
利用这两个漏洞,远程威胁参与者可以在Chrome中获得较高的特权,而且它们仅需要诱使目标用户访问恶意网站,该网站将用于绕过沙盒环境并在受害者的系统上执行任意代码。
关于报告,安全公司Kaspersky Labs的研究人员Anton Ivanov和Alexey Kulaev发现并报告了CVE-2019-13720。 该漏洞是在野外发现的,尽管对负责利用该漏洞的黑客一无所知。
在Google收到错误报告之后,并在发布安全补丁程序之后,将揭示检测到的攻击的一些技术细节。 据报道,黑客入侵了一个来自韩国的新闻网站,将该漏洞植入该网站,并入侵了从受影响的Chrome版本进入该网站的用户的计算机。
据国际网络安全研究所(IICS)的专家称,此漏洞利用安装恶意软件来滥用此漏洞,并与编码的C&C连接以下载最终的有效负载。 强烈建议用户尽快更新Chrome。