又见Uaf漏洞，Google发布Chrome紧急安全更新

前不久Google把计算机版Chrome的一项安全措施也推到了安卓端上面。不过显然Chrome的安全性还是有待加强，就在昨天，Google就发布了一个针对Chrome浏览器两个漏洞的紧急更新，吓得笔者马上更新了。

UaF漏洞是内存损坏问题的其中一种，它可以让非法用户透过破坏或修改内存数据，来提升自己在该系统或软件的权限。

虽然Google并没有给出该两个漏洞的具体资料，但网络安全公司Kaspersky透露，这次黑客入侵了一个韩语新闻网站，并且把恶意代码以水坑攻击的形式藏起来，等待Chrome用户中招。

据称用户中招后，代码会透过利用CVE-2019-13720这个漏洞，把第一批的恶意软件安装到目标计算机上，之后恶意软件会连接到一个远程强制编码的命令与执行（Command-and-Control）服务器来下载余下的部分。

第一批shellcode

因此，上面提及的两个漏洞都可以让黑客通过诱使Chrome浏览器用户访问恶意网络，绕开沙盒的检查从而肆意在目标系统中运行恶意代码。

其实这已经不是第一次在Chrome上发现Uaf漏洞。就在一个月前，Google也发布过为修复4个Uaf漏洞而设的紧急安全更新，其中最严重的甚至可以让黑客完全控制被感染的计算机。这使得Uaf漏洞成为了Chrome浏览器上最近几个月来最常见的安全漏洞。