2020-01-11 12:55:12 阅读:2186
摘要:前不久google把计算机版chrome的一项安全措施也推到了安卓端上面。不过显然chrome的安全性还是有待加强,就在昨天,google就发布了一个针对chrome浏览器两个漏洞的紧急更新。就在一个月前,google也发布过为修复4个uaf漏洞而设的紧急安全更新,其中最严重的甚至可以让黑客完全控制被感染的计算机。这使得uaf漏洞成为了chrome浏览器上最近几个月来最常见的安全漏洞。

ag传说大厅在哪|又见Uaf漏洞,Google发布Chrome紧急安全更新

ag传说大厅在哪,前不久google把计算机版chrome的一项安全措施也推到了安卓端上面。不过显然chrome的安全性还是有待加强,就在昨天,google就发布了一个针对chrome浏览器两个漏洞的紧急更新。

chrome 78.0.3904.87更新最主要的内容,是修复两个分别可以影响chrome音频程序(cve-2019-13720)以及隐藏于pdfium目录(cve-2019-13721)的安全漏洞。根据google的说法,两者都是属于释放后重用(use-after-free,下称uaf)的高危漏洞,且其中之一已经被黑客大量用于入侵及骑劫计算机。

uaf漏洞是内存损坏问题的其中一种,它可以让非法用户透过破坏或修改内存数据,来提升自己在该系统或软件的权限。

虽然google并没有给出该两个漏洞的具体资料,但网络安全公司kaspersky透露,这次黑客入侵了一个韩语新闻网站,并且把恶意代码以水坑攻击的形式藏起来,等待chrome用户中招。

据称用户中招后,代码会透过利用cve-2019-13720这个漏洞,把第一批的恶意软件安装到目标计算机上,之后恶意软件会连接到一个远程强制编码的命令与执行(command-and-control)服务器来下载余下的部分。

第一批shellcode

因此,上面提及的两个漏洞都可以让黑客通过诱使chrome浏览器用户访问恶意网络,绕开沙盒的检查从而肆意在目标系统中运行恶意代码。

其实这已经不是第一次在chrome上发现uaf漏洞。就在一个月前,google也发布过为修复4个uaf漏洞而设的紧急安全更新,其中最严重的甚至可以让黑客完全控制被感染的计算机。这使得uaf漏洞成为了chrome浏览器上最近几个月来最常见的安全漏洞。

上一篇:盐城工厂爆炸:涉事公司曾计划上市
下一篇:全球首档大熊猫主题真人体验纪实节目《熊猫伴我行》周四上线!