google chrome浏览器更新,以修补新的严重安全漏洞

谷歌发布了Chrome浏览器的紧急软件更新,并敦促Windows、Mac和Linux用户立即将应用程序升级到最新版本。            

Chrome77.0.3865.90版本于本周三开始向全球用户推出,其中包含1个关键安全漏洞和3个高风险安全漏洞的安全修补程序,其中最严重的漏洞可能允许远程黑客控制受影响的系统。            

谷歌决定将这四个漏洞的细节保密几天,以防止黑客利用这些漏洞,并给用户足够的时间安装chrome更新。

目前,chrome安全团队只透露,这四个漏洞都是在web浏览器的不同组件释放后使用的,如下所述,严重的漏洞可能导致远程代码执行攻击。            

释放后使用漏洞是一类内存损坏问题,允许损坏或修改内存中的数据,从而使没有权限的用户能够提升受影响系统或软件的权限。

Chrome 77.0.3865.90修补的漏洞             

在用户界面中免费使用(CVE-2019-13685)-由Khalil Zhani报告             

使用免费媒体后(CVE-2019-1368)-由SimMLE安全研究小组的满月莫报道             

使用免费媒体后(CVE-2019-13668)- SimMLE安全研究小组的满月莫报道             

在离线页面中免费使用(CVE-2019-13686)-由Brendon Tiszka报道

谷歌已经支付了40000美元奖励Semmle的Man Yue Mo的S两个漏洞- 20000美元的CVE-2019-13668和20000美元的CVE-2019-1368 8,而其余的两个漏洞的漏洞奖励尚未决定。            

成功利用这些漏洞可使攻击者在浏览器上下文中执行任意代码,方法是说服受害者打开或重定向到受影响的Chrome浏览器上巧尽心思构建的网页,不需要任何进一步的互动。

基于先前的公开,释放后使用漏洞还可能导致敏感信息泄漏、安全限制绕过、未经授权的操作,并根据与应用程序相关联的权限导致拒绝服务条件。            

尽管google chrome会自动通知用户最新的可用版本,但建议用户通过菜单中的“帮助→关于google chrome”手动触发更新过程。            

除此之外,还建议您尽可能以非特权用户的身份在系统上运行所有软件,以减少利用任何零日漏洞成功攻击的影响。            

一旦google发布了这些安全漏洞的技术细节,我们将向您提供更多信息。

发表评论