Google披露Chrome中的嚴重漏洞

Google在萬圣節前夕宣布，它已通過發布版本78.0.3904.87解決了Windows，macOS和Linux上的Chrome中的兩個嚴重漏洞。該公司還在公告中表示，它已``意識到存在針對漏洞之一的漏洞CVE-2019-13720的利用的報道，該漏洞已經''在野外存在''。

這兩個問題都是“釋放后使用”漏洞，當應用程序嘗試使用不再分配給他們的內存時會發生這些漏洞。CVE-2019-13720涉及Chrome音頻中的After-After-Free使用漏洞;CVE-2019-13721是PDFium實用程序中的Free-After-Use漏洞，Chrome用于管理PDF文檔。

卡巴斯基研究人員發現了這些漏洞。他們給CVE-2019-13720的漏洞利用了一個更有趣的名稱：Operation WizardOpium。據卡巴斯基(Kaspersky)的博客文章稱，該漏洞利用程序被嵌入“韓語新聞門戶”中，該門戶網站用于通過惡意JavaScript腳本傳播惡意軟件。

卡巴斯基表示，到目前為止，它“無法與任何已知的威脅行為者建立明確的聯系”。該公司解釋說：“與拉撒路攻擊有某些非常弱的代碼相似性，盡管這些很可能是錯誤的標記。”(這意味著有人會模仿拉撒路襲擊來誤導研究人員。)

兩家公司都建議Chrome用戶盡快安裝版本78.0.3904.87。借助瀏覽器的自動更新功能，不需要用戶干預，但是您可以通過訪問瀏覽器的“設置”菜單中的“關于Chrome”頁面來仔細檢查所使用的Chrome版本。

谷歌表示，由于披露CVE-2019-13721，已向卡巴斯基的研究人員獎勵7,500美元;CVE-2019-13720的獎勵尚未確定。可以在Chrome安全頁面上找到有關該公司的漏洞披露和獎勵政策(至少與它們的瀏覽器有關)的更多信息。