卡巴斯基发现Chrome浏览器0day漏洞利用方法

2019年11月3日00:03:00 发表评论
AD1 AD2 AD3 AD4

近期,谷歌发布了安全补丁,以解决Chrome中的两个严重漏洞,其中一个早已以“0day”的身份出现在互联网中,在近期的黑客攻击中被多次利用。

卡巴斯基发现Chrome浏览器0day漏洞利用方法

这两个漏洞被标记为CVE-2019-13720和CVE-2019-13721,分别和Chrome的音频组件、PDFIum库有关。

根据谷歌发布的报告:

[$7500][1013868] 高严重性 CVE-2019-13721:PDFIum中的Use-after-free漏洞,由Banananapenguin于2019-10-12报告。

[$TBD][1019226] 高严重性 CVE-2019-13720报道:音频组件中的Use-after-free漏洞,由卡巴斯基实验室的Anton Ivanov和Alexey Kulaev于2019年10月29日上报。

谷歌也表示他们清楚CVE-2019-13720漏洞在互联网上的活跃。

这两个漏洞会影响多平台(Windows、Mac和Linux)的Chrome浏览器。谷歌已发布了最新版本78.0.3904.87来修复漏洞,建议用户立即安装更新。

谷歌目前没有公开漏洞的具体细节,只知道这两个漏洞都可能被远程攻击者利用来提升在Chrome浏览器中的权限,以及沙盒逃逸。

“在大多数用户修复漏洞之前,我们不会放出漏洞的错误详细信息。如果有现行项目也依赖于存在漏洞的组件,我们也不会披露漏洞详细信息。”

攻击者可通过诱骗Chrome用户访问自定义的恶意网站来进行攻击,通过Chrome浏览器来执行恶意代码。

卡巴斯基研究人员anton ivanov和alexey kulaev报告了音频组件CVE-2019-13720的0day漏洞。据这两名安全人员透露,这一漏洞所滋生的攻击早已在互联网中被发现,不过研究人员并没有将攻击归咎于某个特定的个人或组织。

发表评论

后发表评论