谷歌昨天透露，上周針對Chrome的補丁實際上是針對零日漏洞的修復，受到了積極的攻擊。

這些攻擊利用了CVE-2019-5786，它是一個安全漏洞，是2019年3月1日上星期五發(fā)布的Chrome 72.0.3626.121版本中包含的唯一補丁。

根據其原始公告的更新和Google Chrome瀏覽器安全領導的推文，該補丁的漏洞在發(fā)布補丁時受到了積極的攻擊。

谷歌將安全漏洞描述為谷歌瀏覽器FileReader中的內存管理錯誤，該文件是所有主要瀏覽器中包含的Web API，可讓網絡應用讀取用戶計算機上存儲的文件內容。

更具體地說，該錯誤是“釋放后使用”漏洞，這是一種內存錯誤，當應用從Chrome分配的內存中被釋放/刪除后嘗試訪問內存時，就會發(fā)生這種錯誤。對這種類型的內存訪問操作的不正確處理可能導致執(zhí)行惡意代碼。

根據漏洞利用廠商Zerodium的首席執(zhí)行官Chaouki Bekrar的說法，據稱CVE-2019-5786漏洞允許惡意代碼逃脫Chrome的安全沙箱并在底層操作系統(tǒng)上運行命令。

Google 在野外發(fā)現(xiàn)了Chrome RCE #0day(CVE-2019-5786)。據報道，帶有沙盒逃逸的完整鏈條：https :

//t.co/Nxfrvr5wIh在2019年，我希望可以在野外找到史詩般的0day：Android，iOS，Windows，Office，虛擬化等等。保持安全并欣賞表演。

-Chaouki Bekrar(@cBekrar)2019年3月6日

這家瀏覽器制造商除了揭示利用漏洞的嘗試外，還稱贊了發(fā)現(xiàn)漏洞的安全研究人員-Google威脅分析小組的Clement Lecigne。

上個月，微軟安全工程師馬特·米勒(Matt Miller)在以色列舉行的一次安全會議上說，微軟每年修補的所有安全漏洞中，大約有70%是內存安全錯誤，例如Chrome團隊上周修補的錯誤。

大多數錯誤來自使用C和C ++這兩種“內存不安全”的編程語言，它們也用于Chromium源代碼，Chromium源代碼是Google Chrome所基于的開源項目。

建議Google Chrome用戶使用瀏覽器的內置更新工具來觸發(fā)對72.0.3626.121版本的更新。用戶應該立即執(zhí)行此操作，尤其是當建議來自Google Chrome的安全主管時。