谷歌研究人员刚刚发现了一个非常危险的 0day 漏洞,该漏洞已被黑客积极利用。这允许远程执行任意代码。已提供安全补丁,强烈建议更新您的浏览器。
Google Chrome 是黑客积极利用的新 0-Day 漏洞的受害者。安全研究员 Clement Lecigne 的发现报告称此缺陷在命名法 CVE-2019-5786 下引用影响所有版本的浏览器,包括 Windows、macOS 和 Linux。由于影响 FileReader 组件的问题,它允许执行任意代码。
FileReader 是一个 API,允许 Web 应用程序读取计算机本地存储的文件(或原始数据缓冲区)的内容。该漏洞允许系统内存被破坏,从而允许非特权用户升级权限并逃离 Chrome 沙箱。谷歌认为这个缺陷足够危险,因此不提供太多细节,“在大多数用户应用更新之前”。
因此,该公司希望防止这一缺陷及其变体被更多的网络犯罪分子利用,而这反过来又会给大量计算机带来重大的安全风险。因为显然用户只需打开或重定向到包含恶意代码的网页即可利用它,而无需用户进行任何交互。
另请阅读:铬合金85% 的扩展程序不关心您的隐私
Chrome 安全团队补充道:“如果其他项目依赖的第三方库中存在该错误,但尚未修复,也会受到限制。”已提供修复程序,如果您的浏览器版本为 72.0.3626.121 或更高版本,则安全。您可以通过右上角的三个点的菜单直接更新 Chrome,然后在帮助 > 关于 Chrome 浏览器。
