谷歌于3月7日在官方博客發(fā)文��,稱發(fā)現(xiàn)了影響Chrome瀏覽器��,以及32位Windows 7系統(tǒng)的零日漏洞��,并呼吁用戶盡快升級(jí)3月1日推出的 Chrome 72.0.3626.121 版本��。根據(jù)谷歌安全研究員的說(shuō)法,這一漏洞是Windows win32k.sys內(nèi)核驅(qū)動(dòng)程序中的本地權(quán)限升級(jí)��,可用作安全沙箱轉(zhuǎn)移。據(jù)谷歌的發(fā)現(xiàn)��,由于新版本的Windows中已經(jīng)添加了應(yīng)對(duì)漏洞的預(yù)防措施��,這一漏洞僅對(duì)Windows 7 32位操作系統(tǒng)產(chǎn)生影響��。
安全人員將其描述為谷歌Chrome中的FileReader中的內(nèi)存管理錯(cuò)誤��。所有主流瀏覽器中都包含一個(gè)Web API��,可以讓W(xué)eb應(yīng)用讀取存儲(chǔ)用戶計(jì)算機(jī)本地存儲(chǔ)上的內(nèi)容��。
惡意代碼專門針對(duì)Chrome瀏覽器中的漏洞��,也就是說(shuō)當(dāng)用戶在專用的PDF閱讀器(如AdobeReader)中打開(kāi)時(shí)��,PDF文檔不會(huì)泄漏任何個(gè)人信息��,而在瀏覽器中打開(kāi)這些惡意PDF��,會(huì)觸發(fā)到兩個(gè)不同之一的出站流量��,分別稱為burpcollaborator.net和readnotify.com��。目前避免此漏洞侵害的最簡(jiǎn)單方法是避免在Chrome瀏覽器中打開(kāi)任何PDF文檔��。
據(jù)稱,黑客可以利用這一漏洞��,以及一個(gè)藏于 Windows 7 內(nèi)核的漏洞��,可以讓惡意代碼逃脫Chrome的安全沙箱��,在底層操作系統(tǒng)上執(zhí)行命令��。因此��,谷歌Chrome的安全主管建議��,用戶應(yīng)盡快更新瀏覽器��。
