谷歌在主动攻击下显示Chrome零日

谷歌昨天透露，上周针对Chrome的补丁实际上是针对零日攻击活动的修复。

这些攻击利用了CVE-2019-5786，这是一个安全漏洞，也是2019年3月1日上周五发布的Chrome 72.0.3626.121版本中唯一的补丁。

根据其原始公告的更新和Google Chrome安全主管的推文，补丁发布时，修补后的错误处于主动攻击状态。

谷歌将安全漏洞描述为谷歌Chrome的FileReader中的内存管理错误 -所有主流浏览器中都包含一个Web API，允许Web应用程序读取存储在用户计算机上的文件内容。

更具体地说，该漏洞是一种免费使用后漏洞，一种应用程序在从Chrome分配的内存中释放/删除内存后尝试访问内存时发生的一种内存错误。对此类内存访问操作的错误处理可能导致恶意代码的执行。

根据漏洞供应商Zerodium的首席执行官Chaouki Bekrar的说法，CVE-2019-5786漏洞据称允许恶意代码逃脱Chrome的安全沙箱并在底层操作系统上运行命令。除了揭露剥削尝试之外，浏览器制造商还对发现该漏洞的安全研究人员表示赞赏 - 谷歌威胁分析小组的Lecigne元素。

微软安全工程师Matt Miller上个月在以色列举行的一次安全会议上表示，微软每年发布的安全漏洞中大约有70%是内存安全错误，就像Chrome团队上周补丁一样。

大多数错误来自使用C和C ++，两种“内存不安全”的编程语言，也用于Chromium源代码，这是Google Chrome所基于的开源项目。

建议Google Chrome用户使用浏览器的内置更新工具触发72.0.3626.121版本的更新。用户应立即执行此操作，尤其是当建议来自Google Chrome的安全主管时。