Chrome 瀏覽器被發現兩個嚴重漏洞，其中一個已被利用

11 月 4 日消息，Google Chrome 瀏覽器被發現存在兩處高危險漏洞。漏洞允許駭客進行特權提升，進而對使用者電腦進行高級別的惡意攻擊。

Chrome 安全小組表示，use-after-free 形式漏洞允許駭客在受感染裝置上執行任意代碼。其中一個漏洞存在於瀏覽器的音頻組件（CVE-2019-13720）中，而另一個存在於 PDFium 庫（CVE-2019-13721）中。Windows、macOS 和 GNU / Linux 三大平台版本均受影響。

這兩個漏洞的嚴重程度都很高，兩者均允許駭客在 Chrome 瀏覽器中執行任意代碼、獲得敏感資訊甚至繞過主機未經授權的安全機製完全操控電腦。

兩個漏洞中 CVE-2019-13720 已經被駭客利用。據卡巴斯基稱，該漏洞被駭客用於進行水坑攻擊（也稱 WizardOpium）的活動。攻擊疑似來自 Darkhotel 的網軍，其入侵了一個南韓網站，並掛上了 js 腳本。

在此次攻擊中，漏洞利用代碼進行了混淆處理，而該代碼還有很多的調試代碼。該 0Day 利用兩個線程之間缺少適當的同步這一特點，造成競爭條件錯誤，這使得攻擊者處於網站權限的解放狀態，從而導致越權代碼的執行。