Google在万圣节前夕宣布,它已通过发布版本78.0.3904.87解决了Windows,macOS和Linux上的Chrome中的两个严重漏洞。该公司还在公告中表示,它已``意识到存在针对漏洞之一的漏洞CVE-2019-13720的利用的报道,该漏洞已经''在野外存在''。
这两个问题都是“释放后使用”漏洞,当应用程序尝试使用不再分配给他们的内存时会发生这些漏洞。CVE-2019-13720涉及Chrome音频中的After-After-Free使用漏洞;CVE-2019-13721是PDFium实用程序中的Free-After-Use漏洞,Chrome用于管理PDF文档。
卡巴斯基研究人员发现了这些漏洞。他们给CVE-2019-13720的漏洞利用了一个更有趣的名称:Operation WizardOpium。据卡巴斯基(Kaspersky)的博客文章称,该漏洞利用程序被嵌入“韩语新闻门户”中,该门户网站用于通过恶意JavaScript脚本传播恶意软件。
卡巴斯基表示,到目前为止,它“无法与任何已知的威胁行为者建立明确的联系”。该公司解释说:“与拉撒路攻击有某些非常弱的代码相似性,尽管这些很可能是错误的标记。”(这意味着有人会模仿拉撒路袭击来误导研究人员。)
两家公司都建议Chrome用户尽快安装版本78.0.3904.87。借助浏览器的自动更新功能,不需要用户干预,但是您可以通过访问浏览器的“设置”菜单中的“关于Chrome”页面来仔细检查所使用的Chrome版本。
谷歌表示,由于披露CVE-2019-13721,已向卡巴斯基的研究人员奖励7,500美元;CVE-2019-13720的奖励尚未确定。可以在Chrome安全页面上找到有关该公司的漏洞披露和奖励政策(至少与它们的浏览器有关)的更多信息。