国外发现最新的谷歌浏览器0day漏洞被黑客频繁利用

谷歌威胁分析小组的安全研究员克莱门特·莱西尼(Clement Lecigne)在上月底发现并报告了Chrome的一个严重漏洞，该漏洞可以让远程攻击者执行任意代码并完全控制电脑。

该漏洞编号为CVE-2019-5786，影响所有主要操作系统的谷歌web浏览器，包括Microsoft Windows、Apple macOS和Linux。

然而Chrome安全团队没有透露漏洞的技术细节，只是说这个问题是Chrome浏览器免费使用FileReader组件后产生的漏洞，它会导致攻击者可以远程执行任意代码。

而更令人担忧的是，谷歌声称，一些黑客正在频繁的利用这个0day的命令执行漏洞来攻击Chrome用户。

FileReader是一个标准API接口，它的主要作用是允许web应用程序异步读取存储在用户计算机上的文件(或原始数据缓冲区)的内容，使用“File”或“Blob”对象指定要读取的文件或数据。

FileReader被免费使用后的漏洞是一类内存损坏错误，它允许损坏或修改内存中的数据，使低权限用户能够在受影响系统中进行提权。

被免费使用后的FileReader组件漏洞可以使没有权限的攻击者获得Chrome浏览器权限，从而使他们能够逃离沙箱，并在目标系统上运行任意代码。

攻击者所需要做的就是诱使受害者打开或者是重定向到一个特殊的网页，而无需任何进一步的交互。

针对这一安全漏洞的补丁将会在Chrome浏览器72.0.3626.121版本发布给用户，适用于Windows、Mac和Linux操作系统，用户会在几天内收到此补丁。

因此，请确保您的系统正在运行Chrome浏览器的最新版本。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://thehackernews.com/2019/03/update-google-chrome-hack.html