雷鋒網(wǎng)3月7日消息，谷歌威脅分析團(tuán)隊(duì)的研究員Clement Lecigne 在Chrome中發(fā)現(xiàn)并報(bào)告了一個(gè)高危漏洞，可導(dǎo)致遠(yuǎn)程攻擊者執(zhí)行任意代碼并完全控制計(jì)算機(jī)。

研究人員稱，此次Chrome的漏洞編號(hào)為CVE-2019-5786，受影響的系統(tǒng)包括微軟Windows、蘋(píng)果macOS和Linux系統(tǒng)。該漏洞存在于API FileReader中，它旨在允許web應(yīng)用程序異步讀取存儲(chǔ)在用戶計(jì)算機(jī)上的文件（或者原始數(shù)據(jù)緩沖區(qū)）內(nèi)容。

雷鋒網(wǎng)得知，此次漏洞屬于UAF漏洞，黑客惡意利用它毀壞或者篡改內(nèi)存數(shù)據(jù)，這種攻擊方式可以滿足低權(quán)限者獲取到高級(jí)用戶權(quán)限。由此，Chrome上的web權(quán)限可以被輕松獲取，逃逸沙箱保護(hù)并在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

“這次漏洞的攻擊成功率很高，因?yàn)楹诳蜔o(wú)需做任何高難度的攻擊操作，只需要用誘導(dǎo)文件促使用戶打開(kāi)或重定向到一個(gè)特定網(wǎng)頁(yè)即可。”

據(jù)稱，目前Chrome update 72.0.3626.121 的 Windows、Mac 和 Linux 操作系統(tǒng)版本中已修復(fù)該漏洞，用戶可能已經(jīng)收到或者將在數(shù)天內(nèi)收到補(bǔ)丁。

因此，一定要確保系統(tǒng)運(yùn)行的是更新后的 Chrome web 瀏覽器版本。

參考來(lái)源：黑鳥(niǎo)；代碼衛(wèi)士

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。