<small id="nvnkc"><optgroup id="nvnkc"><sub id="nvnkc"></sub></optgroup></small>

<th id="nvnkc"><div id="nvnkc"></div></th>
  • <noscript id="nvnkc"><nobr id="nvnkc"><address id="nvnkc"></address></nobr></noscript>

  • <code id="nvnkc"><var id="nvnkc"></var></code><tbody id="nvnkc"><listing id="nvnkc"><nav id="nvnkc"></nav></listing></tbody>

    谷歌chrome瀏覽器嚴重漏洞請盡快升級瀏覽器版本

    發布時間: 編輯:CINDY 0人評論 3166次瀏覽 谷歌瀏覽器
    摘要 : 谷歌chrome瀏覽器嚴重漏洞請盡快升級瀏覽器版本

    谷歌的威脅分析小組在2月27日星期三報告了兩個零日漏洞。第一個影響所有平臺上的Chrome,谷歌上周五發布了針對臺式機和Android的補丁。Chrome操作系統已在本周二進行了修補,谷歌建議用戶今天驗證(設置>幫助>關于谷歌瀏覽器)已安裝chrome瀏覽器72.0.3626.121或更高版本。Chrome的自動更新系統會在后臺下載,并在下次啟動瀏覽器時安裝。谷歌還將推動用戶從瀏覽器的右上角通過重新啟動手動安裝。該問題與FileReader API有關,更糟糕的是允許遠程代碼執行。

    谷歌chrome瀏覽器嚴重漏洞請盡快升級瀏覽器版本

    與此同時,第二個零日與Windows有關,盡管谷歌“堅信這個漏洞可能只能在Windows 7上被利用。”Chrome和Windows漏洞“正在被一起利用”。

    它是Windows win32k.sys內核驅動程序中的本地權限升級,可用作安全沙箱轉義。在特定情況下調用NtUserMNDragOver()系統調用時,該漏洞是win32k!MNGetpItemFromIndex中的NULL指針解除引用。

    上周向微軟報告了這個問題,但谷歌今天公開披露了這一問題,因為其嚴格  的為期一周的零周政策。操作系統供應商正在努力修復,谷歌建議用戶更新到Windows 10,其中攻擊已經通過最近的措施得到緩解。

    未修補的Windows漏洞仍可用于提升權限或與其他瀏覽器漏洞結合使用以逃避安全沙箱。微軟告訴我們他們正在修復。

    什么叫“零日漏洞”?

    “零日漏洞”(zero-day)又叫零時差攻擊,是指被發現后立即被惡意利用的安全漏洞。通俗地講,即安全補丁與瑕疵曝光的同一日內,相關的惡意程序就出現。這種攻擊往往具有很大的突發性與破壞性。

    谷歌昨日證實,上周針對 Chrome 發布的更新,其實是對某個零日漏洞攻擊的回應。由原始公告和 Chrome 安全主管發布的推文可知,攻擊者能夠利用 CVE-2019-5786 這個安全漏洞,而上周五(2019 年 3 月 1 日)發布的 Chrome 72.0.3626.121 更新,就包含了這個唯一的補丁。谷歌將該問題歸咎于文件閱讀器(FileReader)的內存管理 bug 。

    谷歌昨日證實,上周針對 Chrome 發布的更新,其實是對某個零日漏洞攻擊的回應。由原始公告和 Chrome 安全主管發布的推文可知,攻擊者能夠利用 CVE-2019-5786 這個安全漏洞,而上周五(2019 年 3 月 1 日)發布的 Chrome 72.0.3626.121 更新,就包含了這個唯一的補丁。谷歌將該問題歸咎于文件閱讀器(FileReader)的內存管理 bug 。

    谷歌chrome瀏覽器嚴重漏洞請盡快升級瀏覽器版本

    其表示,各大主流瀏覽器都包含了一個 Web API,允許 Web 應用程序讀取存儲在用戶計算機上的文件內容。確切點說,這是一個‘釋放后使用’(use-after-free)漏洞:

    Chrome 對分配給自己的內存進行了釋放 / 刪除,但另一款應用程序試圖對這部分內容進行訪問 —— 如果處理不當,可能會導致惡意代碼執行。

    曝光該漏洞的 Zerodium 首席執行官 Chaouki Bekrar 表示:CVE-2019-5786 漏洞允許惡意代碼逃脫 Chrome 的安全沙箱,并在操作系統的底層上運行命令。

    谷歌chrome瀏覽器嚴重漏洞請盡快升級瀏覽器版本

    研究人員稱,此次Chrome的漏洞編號為CVE-2019-5786,受影響的系統包括微軟Windows、蘋果macOS和Linux系統。該漏洞存在于API FileReader中,它旨在允許web應用程序異步讀取存儲在用戶計算機上的文件(或者原始數據緩沖區)內容。

    而黑客可惡意利用它毀壞或者篡改內存數據,這種攻擊方式可以滿足低權限者獲取到高級用戶權限。由此,Chrome上的web權限可以被輕松獲取,逃逸沙箱保護并在目標系統上執行任意代碼。

    不過目前Chromeupdate72.0.3626.121的Windows、Mac和Linux操作系統版本中已修復該漏洞,用戶可能已經收到或者將在數天內收到補丁。

    作為一個開源項目,Google Chrome 和許多“套牌”瀏覽器都采用了基于 Chromium 的內核。而大部分開發者所使用的,都是 C 或 C++ 語言。

    谷歌建議,為保上網安全,還請盡快通過瀏覽器內置的更新功能,將瀏覽器升級到最新的 72.0.3626.121 版本。

    查看更多

    轉載必須注明來自: Chrome插件 ? 谷歌chrome瀏覽器嚴重漏洞請盡快升級瀏覽器版本

    谷歌瀏覽器Chrome官方原版43.0.2357.65下載

    谷歌瀏覽器Chrome官方原版43.0.2357.65下載

    12 人評論 1003799 次人瀏覽 4.0分 4.0 分
    谷歌瀏覽器又名Chrome是一款谷歌公司推出的一款極速網頁瀏覽器,其使用了最新的javascript V8引擎,大大地提高了網頁的腳本的解析速度,使得Chrome瀏覽器在瀏覽器行業中異軍突起。
    谷歌瀏覽器 Chrome v69 新版發布!全新 UI 界面登場

    谷歌瀏覽器 Chrome v69 新版發布!全新 UI 界面登場

    0 人評論 9765 次人瀏覽 4.3分 4.3 分
    谷歌瀏覽器 (Google Chrome) 是由 Google 推出的免費全平臺瀏覽器,它的設計簡潔高雅,穩定不易崩潰,而且性能極之強悍,在各種速度性能測試中的表現均極度搶眼,用戶在日常使用中都能輕易感受到速度帶來的暢快體驗!
    av看片免费观看网址
    評論:(0)

    已有 0 位網友發表了一針見血的評論,你還等什么?

    ?