当前位置 > 通报预警
通报预警
Chrome 在野利用 0day漏洞预警
江苏省信息网络安全协会
2019-03-18
2019 年 3 月 1 日,chrome 浏览器发布版本更新(72.0.3626.119->72.0.3626.121),修复了在野利用的 CVE-2019-5786。该漏洞危害较为严重,影响较大。
一、 漏洞情况分析
CVE-2019-5786是位于FileReader中的UAF漏洞。
各大主流浏览器都包含了一个 Web API,允许 Web 应用程序读取存储在用户计算机上的文件内容。确切点说,这是一个‘释放后使用’(use-after-free)漏洞:
Chrome对分配给自己的内存进行了释放 / 删除,但另一款应用程序试图对这部分内容进行访问 —— 如果处理不当,可能会导致恶意代码执行。
CVE-2019-5786漏洞允许恶意代码逃脱 Chrome 的安全沙箱,并在操作系统的底层上运行命令。
二、 漏洞处置建议
使用 chrome 浏览器的用户请打开 chrome:/ /settings
/help 页面查看当前浏览器版本,如果不是最新版(72.0.3626.121)会自动检查升级,重启之后即可更新到最新版。
返回