Google于10月22日释出Chrome 78,但随后因发现了已被开采的零时差漏洞,而紧在10月31日紧急释出Chrome 78.0.3904.87修补,以供Windows、Mac与Linux用户更新。
此一零时差漏洞是由卡巴斯基实验室(Kaspersky Labs)所发现的CVE-2019-13720,它是藏匿在音讯功能中的释放后使用(Use-after-free)漏洞,将允许黑客掌控受害者系统。
卡巴斯基是在10月29日向Google提报了该漏洞,因为研究人员已发现了开采该漏洞的攻击行动,卡巴斯基将该攻击称为WizardOpium行动,黑客先是在韩文的新闻网站进行水坑攻击,于该网站上植入了恶意的JavaScript,再等待受害者上钩。
该恶意脚本会检查读者所使用的浏览器版本,假设发现读者采用了Chrome65或之后的版本,便会展开攻击行动,借由于受害者系统上分配与释放內存,再辅以其它的技术,最终取得系统的读写权,进而在系统上植入恶意程式以取得控制权,为了持续存在,还会在微软Windows的工作排程器(Task Scheduler)上安装任务。
为了避免用户来不及更新,Google与卡巴斯基都保留了漏洞细节。
其实Chrome 78.0.3904.87也修补了另一个由banananapenguin,在今年10月12日所提报的CVE-2019-13721漏洞,此一漏洞是位于PDFium的释放后使用漏洞,与CVE-2019-13720同样属于高风险漏洞,但尚未遭到黑客利用。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
