Chorme瀏覽器被發現兩個嚴重漏洞，其中一個已被利用

雷鋒網11月4日消息，谷歌Chorme瀏覽器被發現存在兩處高危漏洞。漏洞允許黑客進行特權提升，進而對用戶電腦進行高級別的惡意攻擊。

Chrome安全小組表示，use-after-free形式漏洞允許黑客在受感染設備上執行任意代碼。其中一個漏洞存在于瀏覽器的音頻組件（CVE-2019-13720）中，而另一個存在于PDFium庫（CVE-2019-13721）中。Windows、macOS和GNU/Linux三大平臺版本均受影響。

這兩個漏洞的嚴重程度都很高，兩者均允許黑客在Chorme瀏覽器中執行任意代碼、獲得敏感信息甚至繞過主機未經授權的安全機制完全操控電腦。

兩個漏洞中CVE-2019-13720已經被黑客利用。據卡巴斯基稱，該漏洞被黑客用于進行水坑攻擊（也稱WizardOpium）的活動。攻擊疑似來自Darkhotel的網軍，其入侵了一個韓國網站，并掛上了js腳本。

在此次攻擊中，漏洞利用代碼進行了混淆處理，而該代碼還有很多的調試代碼。該0Day漏洞利用兩個線程之間缺少適當的同步這一特點，造成競爭條件錯誤，這使得攻擊者處于網站權限的解放狀態，從而導致越權代碼的執行。

目前，谷歌已經發布這兩個漏洞的緊急補丁程序并修復了漏洞，Chorme瀏覽器穩定版已經升級至78.0.3904.87，建議所有Chorme用戶盡快升級至最新版本。

該版本的更新修復了這兩個問題（重點介紹由外部研究人員提供的修復程序。請參閱Chrome安全性頁面以獲取更多信息）：

[$7500] [1013868]高CVE-2019-13721：PDFium組件中的Use-after-free。由 banananapenguin在2019-10-12報道。

[$TBD] [1019226]高CVE-2019-13720：音頻組件中的Use-after-free?？ò退够鶎嶒炇业腁nton Ivanov和Alexey Kulaev于2019-10-29報道。

參考鏈接：cnbeta；黑鳥公眾號

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。