E X P
  • 编辑
  • 评论
  • 标题
  • 链接
  • 查错
  • 图文
  • 拼 命 加 载 中 ...

    前不久Google把计算机版Chrome的一项安全措施也推到了安卓端上面。不过显然Chrome的安全性还是有待加强,就在昨天,Google就发布了一个针对Chrome浏览器两个漏洞的紧急更新。

    Chrome 78.0.3904.87更新最主要的内容,是修复两个分别可以影响Chrome音频程序(CVE-2019-13720)以及隐藏于PDFium目录(CVE-2019-13721)的安全漏洞。根据Google的说法,两者都是属于释放后重用(Use-after-Free,下称UaF)的高危漏洞,且其中之一已经被黑客大量用于入侵及骑劫计算机。

    UaF漏洞是内存损坏问题的其中一种,它可以让非法用户透过破坏或修改内存数据,来提升自己在该系统或软件的权限。

    虽然Google并没有给出该两个漏洞的具体资料,但网络安全公司Kaspersky透露,这次黑客入侵了一个韩语新闻网站,并且把恶意代码以水坑攻击的形式藏起来,等待Chrome用户中招。

    据称用户中招后,代码会透过利用CVE-2019-13720这个漏洞,把第一批的恶意软件安装到目标计算机上,之后恶意软件会连接到一个远程强制编码的命令与执行(Command-and-Control)服务器来下载余下的部分。


    第一批shellcode

    因此,上面提及的两个漏洞都可以让黑客通过诱使Chrome浏览器用户访问恶意网络,绕开沙盒的检查从而肆意在目标系统中运行恶意代码。

    其实这已经不是第一次在Chrome上发现Uaf漏洞。就在一个月前,Google也发布过为修复4个Uaf漏洞而设的紧急安全更新,其中最严重的甚至可以让黑客完全控制被感染的计算机。这使得Uaf漏洞成为了Chrome浏览器上最近几个月来最常见的安全漏洞。
     

    ×
    热门文章
    1英特尔透露Copilot本地运行条件:至少需要40 TOPS算力的NPU
    2英特尔Lunar Lake MX参考平台曝光:8核心CPU及GPU,集成LPDDR5X内存
    3华硕发布RT-BE88U Wi-Fi 7双频路由器:10网口配置,无线速率达7200Mbps
    4矽速科技开发中的新掌机十分小巧,基于FPGA芯片打造
    5京东方凭定价赢得苹果OLED订单,或成为第四代iPhone SE独家面板供应商
    6两个版本的微星Claw性能对比:酷睿Ultra 5的游戏性能几乎与酷睿Ultra 7相同
    7九州风神推出PN D/M系列电源:支持ATX 3.1规范,双金牌认证,399元起
    8微星推出MAG 274UPF E2游戏显示器:4K@160Hz,采用Rapid IPS面板
    9《双人成行》销量突破1600万份,开发团队表示玩家的支持意味着一切
    已有 4 条评论,共 13 人参与。
    登录快速注册 后发表评论
    • 超能网友等待验证会员 2019-11-03 20:43    |  加入黑名单

      该评论年代久远,荒废失修,暂不可见。

      支持(0)  |   反对(0)  |   举报  |   回复

      4#

    • 我匿名了  2019-11-03 00:24

      该评论年代久远,荒废失修,暂不可见。

      支持(0)  |   反对(0)  |   举报  |   回复

      3#

    • 超能网友一代宗师 2019-11-02 18:07    |  加入黑名单

      超能网友 终极杀人王

      该评论因举报过多,自动进入审核状态。

      该评论年代久远,荒废失修,暂不可见。

      支持(1)  |   反对(0)  |   举报  |   回复

      2#

    • 超能网友终极杀人王 2019-11-02 17:39    |  加入黑名单

      本评论正在审核中,马上就好……

      1#

    提示:本页有 1 个评论因未通过审核而被隐藏

    登录 后发表评论,若无帐号可 快速注册 ,请留意 评论奖罚说明