谷歌昨天透露，上周針對Chrome的補丁實際上是針對零日漏洞的修復(fù)，受到了積極的攻擊。

這些攻擊利用了CVE-2019-5786，它是一個安全漏洞，是2019年3月1日上星期五發(fā)布的Chrome 72.0.3626.121版本中包含的唯一補丁。

根據(jù)其原始公告的更新和Google Chrome瀏覽器安全領(lǐng)導(dǎo)的推文，該補丁的漏洞在發(fā)布補丁時受到了積極的攻擊。

谷歌將安全漏洞描述為谷歌瀏覽器FileReader中的內(nèi)存管理錯誤，該文件是所有主要瀏覽器中包含的Web API，可讓網(wǎng)絡(luò)應(yīng)用讀取用戶計算機上存儲的文件內(nèi)容。

更具體地說，該錯誤是“釋放后使用”漏洞，這是一種內(nèi)存錯誤，當應(yīng)用從Chrome分配的內(nèi)存中被釋放/刪除后嘗試訪問內(nèi)存時，就會發(fā)生這種錯誤。對這種類型的內(nèi)存訪問操作的不正確處理可能導(dǎo)致執(zhí)行惡意代碼。

根據(jù)漏洞利用廠商Zerodium的首席執(zhí)行官Chaouki Bekrar的說法，據(jù)稱CVE-2019-5786漏洞允許惡意代碼逃脫Chrome的安全沙箱并在底層操作系統(tǒng)上運行命令。

Google 在野外發(fā)現(xiàn)了Chrome RCE #0day(CVE-2019-5786)。據(jù)報道，帶有沙盒逃逸的完整鏈條：https :

//t.co/Nxfrvr5wIh在2019年，我希望可以在野外找到史詩般的0day：Android，iOS，Windows，Office，虛擬化等等。保持安全并欣賞表演。

-Chaouki Bekrar(@cBekrar)2019年3月6日

這家瀏覽器制造商除了揭示利用漏洞的嘗試外，還稱贊了發(fā)現(xiàn)漏洞的安全研究人員-Google威脅分析小組的Clement Lecigne。

上個月，微軟安全工程師馬特·米勒(Matt Miller)在以色列舉行的一次安全會議上說，微軟每年修補的所有安全漏洞中，大約有70%是內(nèi)存安全錯誤，例如Chrome團隊上周修補的錯誤。

大多數(shù)錯誤來自使用C和C ++這兩種“內(nèi)存不安全”的編程語言，它們也用于Chromium源代碼，Chromium源代碼是Google Chrome所基于的開源項目。

建議Google Chrome用戶使用瀏覽器的內(nèi)置更新工具來觸發(fā)對72.0.3626.121版本的更新。用戶應(yīng)該立即執(zhí)行此操作，尤其是當建議來自Google Chrome的安全主管時。