2019 年 3 月 1 日，chrome 浏览器发布版本更新(72.0.3626.119->72.0.3626.121)，修复了在野利用的 CVE-2019-5786。该漏洞危害较为严重，影响较大。

一、 漏洞情况分析

CVE-2019-5786是位于FileReader中的UAF漏洞。

各大主流浏览器都包含了一个 Web API，允许 Web 应用程序读取存储在用户计算机上的文件内容。确切点说，这是一个‘释放后使用’（use-after-free）漏洞：

Chrome对分配给自己的内存进行了释放 / 删除，但另一款应用程序试图对这部分内容进行访问 —— 如果处理不当，可能会导致恶意代码执行。

CVE-2019-5786漏洞允许恶意代码逃脱 Chrome 的安全沙箱，并在操作系统的底层上运行命令。

二、 漏洞处置建议

使用 chrome 浏览器的用户请打开 chrome:/ /settings

/help 页面查看当前浏览器版本，如果不是最新版(72.0.3626.121)会自动检查升级，重启之后即可更新到最新版。