Chorme涉猎器被发现两个严重马脚 其中一个已被使用

11月4日新闻,谷歌Chorme涉猎器被发现存在两处高危马脚。马脚准许黑客进行特权晋升,进而对用户电脑进行高等别的恶意攻击。

Chrome安全小组表明,use-after-free情势马脚准许黑客在受传染装备上实行恣意代码。其中一个马脚存在于涉猎器的音频组件(CVE-2019-13720)中,而另一个存在于PDFium库(CVE-2019-13721)中。Windows、macOS和GNU/Linux三大平台版本均受影响。

这两个马脚的严重程度都很高,两者均准许黑客在Chorme涉猎器中实行恣意代码、获得敏感信息甚至绕过主机未经授权的安全机制完整操控电脑。

两个马脚中CVE-2019-13720曾经被黑客使用。据卡巴斯基称,该马脚被黑客用于进行水坑攻击(也称WizardOpium)的活动。攻击疑似来自Darkhotel的网军,其入侵了一个韩国网站,并挂上了js底本。

在此次攻击中,马脚使用代码进行了混淆处理,而该代码还有很多的调试代码。该0Day使用两个线程之间缺少恰当的同步这一特色,,造成竞争前提错误,这使得攻击者处于网站权限的解放情态,从而导致越权代码的实行。

当前,谷歌曾经颁布这两个马脚的紧张补丁程序并修复了马脚,Chorme涉猎器稳固版曾经升级至78.0.3904.87,要求一切Chorme用户尽快升级至最新版本。

微信公众号搜寻" 爱问为什么网 "加关注,每日最新的手机、电脑、汽车、智能硬件信息可以让你一手全操纵。推荐关注!【微信扫描下图可直接关注】

上一篇:工信部整治APP侵袭用户权力 终止“不给权限不让用”等滥权行径?
下一篇:余承东:今年双11开端 华为旗舰机将碾压性超过苹果

欢迎扫描关注我们的微信公众平台!

欢迎扫描关注我们的微信公众平台!