Chrome 安全小组表示,这两个漏洞均为 use-after-free 形式,允许黑客在受感染设备上执行任意代码。其中一个漏洞存在于浏览器的音频组件中,而另一个存在于 PDFium 库中。Windows、macOS 和 GNU/Linux 三大平台版本均受影响。
互联网安全中心警告说:“在 Google Chrome 中发现了多个漏洞”,并表示 CVE-2019-13720 和 CVE-2019-13721 的严重等级都很高。在后续警告中写道:“这两个漏洞允许攻击者在浏览器中执行任意代码、获取敏感信息,绕过安全限制并执行未经授权的操作或导致拒绝服务情况”。
Google Chrome 小组在博客中说,稳定版已经升级至 78.0.3904.87,修复了这两个问题:
此更新包括 2 个安全修复程序。下面,我们重点介绍由外部研究人员提供的修复程序。请参阅 Chrome 安全性页面以获取更多信息。
[$7500][1013868]高 CVE-2019-13721:PDFium 组件中的 Use-after-free。由 banananapenguin 在 2019-10-12 报道。
[$TBD][1019226]高 CVE-2019-13720:音频组件中的 Use-after-free。卡巴斯基实验室的 Anton Ivanov 和 Alexey Kulaev 于 2019-10-29 报道
谷歌承认已经有黑客利用 CVE-2019-13720 漏洞向 Chrome 用户发起攻击。目前尚无法披露有关安全漏洞的详细信息。
相关文章
注册谷歌账户时:此电话号码无法用于进行验证
谷歌旗下有很多实用的工具,除了外贸常用的 Gmail 邮箱,还有谷歌 SEO 经常用到的谷歌站长、谷歌分析、谷歌关键词规划师等工具。所以,申请注册一个谷歌账号对于外贸人或者谷歌 SEO 从业者来说,都是很有必要的。
谷歌悄悄在Chrome中添加了HEVC支持
在网站上没有任何公告或更新的情况下,Google 悄悄地启用了对 HEVC/H.265 视频内容的自适应流媒体的支持!因为 MPEG-LA 和 HEVC Advance 专利太黑,给谷歌和苹果报价太高,只能交钱才能使用。以至于 Chrome...
YouTube官方公测视频下载
YouTube 正在桌面端浏览器上开启公测,允许用户通过官方渠道下载视频。本轮测试将持续到 10 月 19 日,所有对该功能感兴趣的用户都可以进行尝试。