Chrome用戶注意：應(yīng)盡快升級(jí)瀏覽器到72.0.3626121

谷歌已經(jīng)確認(rèn)最近Google Chrome的更新是用來(lái)修補(bǔ)流行瀏覽器中的0day漏洞，這是一種可被用于主動(dòng)攻擊的漏洞，官方建議macOS，Windows和Linux上的所有Chrome用戶盡快更新其安裝。3月1日發(fā)布的Chrome補(bǔ)丁包含一個(gè)安全漏洞修復(fù)程序，標(biāo)識(shí)為CVE-2019-5786。

本次更新僅修復(fù)了該問(wèn)題而未對(duì)瀏覽器進(jìn)行其他更改，可見(jiàn)問(wèn)題相當(dāng)迫切，最新版本在三個(gè)平臺(tái)上都已經(jīng)是72.0.3626121。

安全漏洞影響了Chrome的所有桌面版本，但對(duì)于Windows用戶來(lái)說(shuō)尤其如此，瀏覽器的漏洞被主動(dòng)用作對(duì)Windows的更復(fù)雜攻擊的一部分。

谷歌更新了該補(bǔ)丁的公告，明確表示Chrome的攻擊方法已經(jīng)“在外流傳”。 Google Chrome安全主管賈斯汀·舒赫（Justin Schuh）向Twitter發(fā)布了有關(guān)該漏洞存在的建議并建議用戶使用新補(bǔ)丁更新瀏覽器。

該漏洞主要源于Chrome的FileReader API存在內(nèi)存管理錯(cuò)誤，該錯(cuò)誤允許網(wǎng)絡(luò)應(yīng)用讀取桌面上的本地文件。具體來(lái)說(shuō)，當(dāng)Web應(yīng)用程序嘗試訪問(wèn)已從Chrome分配的內(nèi)存中釋放或刪除的內(nèi)存時(shí)，這是一個(gè)稱為“釋放后使用”漏洞的內(nèi)存錯(cuò)誤，該漏洞使惡意代碼能夠被執(zhí)行。

Google威脅分析小組的Clement Lecigne被認(rèn)為是發(fā)現(xiàn)該漏洞的研究人員。Google Chrome for iOS不受安全漏洞的影響。