沙虫科技网logo.png3D科技网

3D科技网
提供IT业界的新鲜事、奇趣事和热门焦点,掌控最热最新的互联网新闻、科技新闻和IT业界动态。
3D科技网

Google Chrome浏览器安全警报​​:确认高严重性零日漏洞利用后请更新浏览器

Google Chrome工程师感到非常恐惧,可以在所有平台上为浏览器发布紧急更新公告。那么,是什么让Google成为了暴走者呢?答案不是一个,而是两个安全漏洞,其中一个漏洞已经被零日漏洞利用。

到目前为止,这是已知的

Google在10月31日的披露中证实,“稳定通道”台式机Chrome浏览器已在Windows,Mac和Linux平台上更新为版本78.0.3904.87。根据Google的说法,这一紧急更新将“在未来几天/几周内”开始推出。与最近的Windows 10安全警报建议不要安装更新不同,Chrome用户应确保确实安装了此更新。

目前,事实证明,很难找到有关任何一个漏洞的详细信息,而事实是,由更新修复的两个漏洞之一已经被广泛利用。

Google说这是因为:“在大多数用户更新了修复程序之前,对错误详细信息和链接的访问可能会受到限制。如果该错误存在于其他项目同样依赖的第三方库中,我们也会保留这些限制。还没有解决。”

什么是Google Chrome零时差攻击?

众所周知,谷歌曾说过该漏洞的存在是针对CVE-2019-13720漏洞的。卡巴斯基的两位研究人员Anton Ivanov和Alexey Kulaev于10月29日对此进行了报道。根据美国国土安全部网络安全和基础设施安全局(CISA)的声明,Google更新“解决了攻击者可以利用以控制的漏洞受影响的系统”,但就细节而言。

CVE-2019-13721和CVE-2019-13721都是“释放后使用”漏洞,它们利用内存损坏来提升被攻击系统上的特权。对于CVE-2019-13721,这会影响与生成和查看PDF文件有关的PDFium库。另一种是CVE-2019-13720,据报道它在野外被利用,这会影响Chrome Web浏览器音频组件。

这些Chrome零日漏洞有多严重?

尽管必须认真对待具有高严重等级的任何漏洞,但对于普通用户和民族国家黑客可能感兴趣的用户而言,仍然存在不同级别的风险。与最近的Android安全警报(包括现在臭名昭著的Joker恶意软件)不同,对于大多数人来说,现实世界中的风险似乎并不那么重要。

应用安全专家迈克·汤普森(Mike Thompson)表示:“对我来说,这是相对较低的风险,因为Google很快就意识到了这些漏洞,而在我看来,这是'零日'办公室的第二天,在我看来,这可能会造成任何实际损害是最小的。”

他说,道德黑客约翰·奥普达纳克(John Opdenakker)同意看到Google如此迅速地行动是一件好事,“特别是就已经被野外利用的公司而言,”。

Opdenakker说,做了进一步的挖掘后,由于道德的黑客有这样做的习惯,“这个最严重的漏洞只能通过特制网站来利用,”这意味着“普通用户不应失去任何睡眠。”

缓解建议

也就是说,Opdenakker和Thompson都建议用户确保尽快安装Chrome浏览器更新,以减轻任何风险。

这应该在接下来的几天和几周内自动发生;但是,我建议Chrome用户使用“帮助|关于Google Chrome”菜单选项手动触发更新过程。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关推荐