google chrome瀏覽器更新,以修補新的嚴重安全漏洞
責編:gltian |2019-09-23 14:40:00
谷歌發布了Chrome瀏覽器的緊急軟件更新,并敦促Windows、Mac和Linux用戶立即將應用程序升級到最新版本。
Chrome77.0.3865.90版本于本周三開始向全球用戶推出,其中包含1個關鍵安全漏洞和3個高風險安全漏洞的安全修補程序,其中最嚴重的漏洞可能允許遠程黑客控制受影響的系統。
谷歌決定將這四個漏洞的細節保密幾天,以防止黑客利用這些漏洞,并給用戶足夠的時間安裝chrome更新。
目前,chrome安全團隊只透露,這四個漏洞都是在web瀏覽器的不同組件釋放后使用的,如下所述,嚴重的漏洞可能導致遠程代碼執行攻擊。
釋放后使用漏洞是一類內存損壞問題,允許損壞或修改內存中的數據,從而使沒有權限的用戶能夠提升受影響系統或軟件的權限。
Chrome 77.0.3865.90修補的漏洞
在用戶界面中免費使用(CVE-2019-13685)-由Khalil Zhani報告
使用免費媒體后(CVE-2019-1368)-由SimMLE安全研究小組的滿月莫報道
使用免費媒體后(CVE-2019-13668)- SimMLE安全研究小組的滿月莫報道
在離線頁面中免費使用(CVE-2019-13686)-由Brendon Tiszka報道
谷歌已經支付了40000美元獎勵Semmle的Man Yue Mo的S兩個漏洞- 20000美元的CVE-2019-13668和20000美元的CVE-2019-1368 8,而其余的兩個漏洞的漏洞獎勵尚未決定。
成功利用這些漏洞可使攻擊者在瀏覽器上下文中執行任意代碼,方法是說服受害者打開或重定向到受影響的Chrome瀏覽器上巧盡心思構建的網頁,不需要任何進一步的互動。
基于先前的公開,釋放后使用漏洞還可能導致敏感信息泄漏、安全限制繞過、未經授權的操作,并根據與應用程序相關聯的權限導致拒絕服務條件。
盡管google chrome會自動通知用戶最新的可用版本,但建議用戶通過菜單中的“幫助→關于google chrome”手動觸發更新過程。
除此之外,還建議您盡可能以非特權用戶的身份在系統上運行所有軟件,以減少利用任何零日漏洞成功攻擊的影響。
一旦google發布了這些安全漏洞的技術細節,我們將向您提供更多信息。