网络安全
当前位置: 首页 >> 网络安全 >> 安全事件 >> 正文
Chrome再现零日漏洞
作者:   来源:   日期:2019年11月04日   点击:[]

 

      近日,谷歌紧急发布了Chorme浏览器的更新,以修补两处高危漏洞。这两处漏洞或将允许黑客进行特权提升,进而执行其他恶意操作。研究人员指出,其中一处漏洞已被黑客积极利用。 

据了解,这两处漏洞都是“释放后可重用”(use-after-free)漏洞,第一处漏洞位于Chrome的音频组件(CVE-2019-13720),第二处漏洞位于PDFium库(CVE-2019-13721

https://mmbiz.qpic.cn/mmbiz_png/QmbJGbR2j6ysmT1XIpuIqF1V44WGRNB1ft5zkeTPib3YFdo40sicibPaWzkIg8ZkiampqAU7D4ic2tniboTyibdj1fYIA/640?wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1

 

“释放后可重用”漏洞属于内存损坏问题,此类漏洞将允许黑客破坏、修改内存中的数据,以进行特权提升。通过诱使目标用户访问恶意网站,攻击者将得以利用该漏洞。

研究人员表示,已有黑客成功在某新闻网站中植入了漏洞利用代码。一旦受害者使用含有漏洞的Chrome浏览器打开该网站,黑客便可伺机在其系统中安装第一阶段恶意软件,再利用该恶意软件下载其他恶意负载。

 

https://mmbiz.qpic.cn/mmbiz_jpg/QmbJGbR2j6ysmT1XIpuIqF1V44WGRNB1UPW5j5Jm8ReuL30g0ZCE2E5nrj1OMrZQLiaiaa4G0DR4fZKFbkWfo8ow/640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1&wx_co=1

    目前尚不清楚这些攻击者的身份。不过,研究人员在经过分析后发现,攻击者使用的漏洞利用代码与Lazarus黑客集团使用的代码有相似之处。 

谷歌将于近日通知用户更新至Chrome 78.0.3904.87版本。如果用户没有收到此类通知,则可在Chrome菜单的“帮助→关于Google Chrome”中查看更新。此外,Chrome用户还应尽可能以非特权用户的身份在系统中进行操作,以减小被攻击时受到的影响。

 

上一条:新型网络钓鱼手法 下一条:linuxSudo漏洞

关闭

办公地点:第四教学楼东侧信息技术服务中心      办公时间:周一至周五 8:00-11:30   14:30-18:00(春夏)   14:00-17:30(秋冬)
*办理个人业务请携带本人身份证件
学校地址:山东省烟台市莱山区滨海中路191号
版权所有:山东工商学院信息技术服务中心