Chrome再现零日漏洞

近日，谷歌紧急发布了Chorme浏览器的更新，以修补两处高危漏洞。这两处漏洞或将允许黑客进行特权提升，进而执行其他恶意操作。研究人员指出，其中一处漏洞已被黑客积极利用。

据了解，这两处漏洞都是“释放后可重用”（use-after-free）漏洞，第一处漏洞位于Chrome的音频组件（CVE-2019-13720），第二处漏洞位于PDFium库（CVE-2019-13721）。

“释放后可重用”漏洞属于内存损坏问题，此类漏洞将允许黑客破坏、修改内存中的数据，以进行特权提升。通过诱使目标用户访问恶意网站，攻击者将得以利用该漏洞。

研究人员表示，已有黑客成功在某新闻网站中植入了漏洞利用代码。一旦受害者使用含有漏洞的Chrome浏览器打开该网站，黑客便可伺机在其系统中安装第一阶段恶意软件，再利用该恶意软件下载其他恶意负载。

目前尚不清楚这些攻击者的身份。不过，研究人员在经过分析后发现，攻击者使用的漏洞利用代码与Lazarus黑客集团使用的代码有相似之处。

谷歌将于近日通知用户更新至Chrome 8.0.3904.87版本。如果用户没有收到此类通知，则可在Chrome菜单的“帮助关于Google Chrome”中查看更新。此外，Chrome用户还应尽可能以非特权用户的身份在系统中进行操作，以减小被攻击时受到的影响。

注：本文由E安全编译报道，转载请注原文地址

https://www.easyaq.com