近日,谷歌紧急发布了Chorme浏览器的更新,以修补两处高危漏洞。这两处漏洞或将允许黑客进行特权提升,进而执行其他恶意操作。研究人员指出,其中一处漏洞已被黑客积极利用。
据了解,这两处漏洞都是“释放后可重用”(use-after-free)漏洞,第一处漏洞位于Chrome的音频组件(CVE-2019-13720),第二处漏洞位于PDFium库(CVE-2019-13721)。
“释放后可重用”漏洞属于内存损坏问题,此类漏洞将允许黑客破坏、修改内存中的数据,以进行特权提升。通过诱使目标用户访问恶意网站,攻击者将得以利用该漏洞。
研究人员表示,已有黑客成功在某新闻网站中植入了漏洞利用代码。一旦受害者使用含有漏洞的Chrome浏览器打开该网站,黑客便可伺机在其系统中安装第一阶段恶意软件,再利用该恶意软件下载其他恶意负载。
目前尚不清楚这些攻击者的身份。不过,研究人员在经过分析后发现,攻击者使用的漏洞利用代码与Lazarus黑客集团使用的代码有相似之处。
谷歌将于近日通知用户更新至Chrome 78.0.3904.87版本。如果用户没有收到此类通知,则可在Chrome菜单的“帮助→关于Google Chrome”中查看更新。此外,Chrome用户还应尽可能以非特权用户的身份在系统中进行操作,以减小被攻击时受到的影响。