11月4日消息,谷歌chorme浏览器被发现存在两处高危漏洞。漏洞允许黑客进行特权提升,进而对用户电脑进行高级别的恶意攻击。业内专家曾表示,网站高防的发展壮大是很有可能的,从其以往的数据报表可以很好的看出来。
chrome安全小组表示,use-after-free形式漏洞允许黑客在受感染设备上执行任意代码。其中一个漏洞存在于浏览器的音频组件(cve-2019-13720)中,而另一个存在于pdfium库(cve-2019-13721)中。windows、macos和gnulinux三大平台版本均受影响。
这两个漏洞的严重程度都很高,两者均允许黑客在chorme浏览器中执行任意代码、获得敏感信息甚至绕过主机未经授权的安全机制完全操控电脑。
两个漏洞中cve-2019-13720已经被黑客利用。据卡巴斯基称,该漏洞被黑客用于进行水坑攻击(也称wizardopium)的活动。攻击疑似来自darkhotel的网军,其入侵了一个韩国网站,并挂上了js脚本。
在此次攻击中,漏洞利用代码进行了混淆处理,而该代码还有很多的调试代码。该0day利用两个线程之间缺少适当的同步这一特点,造成竞争条件错误,这使得攻击者处于网站权限的解放状态,从而导致越权代码的执行。
目前,谷歌已经发布这两个漏洞的紧急补丁程序并修复了漏洞,chorme浏览器稳定版已经升级至780390487,建议所有chorme用户尽快升级至最新版本。