趕快更新！Chrome 再現高危險漏洞已遭利用

3 月 7 日消息，Google 威脅分析團隊的研究員 Clement Lecigne 在 Chrome 中發現並報告了一個高危險漏洞，可導致遠程攻擊者執行任意程式碼並完全控制電腦。

研究人員稱，此次 Chrome 的漏洞編號為 CVE-2019-5786，受影響的系統包括微軟 Windows、蘋果 macOS 和 Linux 系統。該漏洞存在於 API FileReader 中，它旨在允許 web 應用程式異步讀取儲存在用戶電腦上的文件（或者原始資料緩衝區）內容。

Google discovered a Chrome RCE #0day in the wild (CVE-2019-5786). Reportedly, a full chain with a sandbox escape: https://t.co/Nxfrvr5wIh

In 2019, I expect epic 0days to be found in the wild: Android, iOS, Windows, Office, virtualization, and more. Stay safe and enjoy the show.

— Chaouki Bekrar (@cBekrar) 2019年3月6日

此次漏洞屬於 UAF 漏洞，駭客惡意利用它毀壞或篡改內存資料，這種攻擊方式可以滿足低權限者獲取到高級用戶權限。由此，Chrome 上的 web 權限可以被輕鬆獲取，逃逸沙箱保護並在目標系統上執行任意程式碼。

「這次漏洞的攻擊成功率很高，因為駭客無需做任何高難度的攻擊操作，只需要用誘導文件促使用戶打開或重定向到一個特定網頁即可。」

據稱，目前 Chrome update 72.0.3626.121 的 Windows、Mac 和 Linux 作業系統版本中已修復該漏洞，用戶可能已經收到、或者將在數天內收到修補程式。

因此，一定要確保系統執行的是更新後的 Chrome web 瀏覽器版本。

（本文由 雷鋒網 授權轉載；首圖來源：pixabay）