谷歌昨日證實，上週針對Chrome發布的更新，其實是對某個零日漏洞攻擊的回應。由原始公告和Chrome安全主管發布的推文可知，攻擊者能夠利用CVE-2019-5786這個安全漏洞，而上週五（2019年3月1日）發布的Chrome 72.0.3626.121更新，就包含了這個唯一的補丁。谷歌將該問題歸咎於文件閱讀器（FileReader）的內存管理bug 。

其表示，各大主流瀏覽器都包含了一個Web API，允許Web應用程序讀取存儲在用戶計算機上的文件內容。確切點說，這是一個’釋放後使用’（use-after-free）漏洞：

Chrome 對分配給自己的內存進行了釋放/ 刪除，但另一款應用程序試圖對這部分內容進行訪問—— 如果處理不當，可能會導致惡意代碼執行。

曝光該漏洞的Zerodium首席執行官Chaouki Bekrar表示：CVE-2019-5786漏洞允許惡意代碼逃脫Chrome的安全沙箱，並在操作系統的底層上運行命令。

在承認錯誤的同時，谷歌方面還對發現該漏洞的安全研究人員表示了讚賞。

在上月於以色列舉辦的一場安全會議上，微軟安全工程師Matt Miller曾表示：該公司每年通報的安全漏洞中，大約有70%都是內存安全bug 。

顯然，Google Chrome 上周處理的CVE-2019-5786，這屬於這方面的漏洞—— 不過我們可以把大鍋扣在C 和C++ 這兩種“對內存操作不怎麼安全”的編程語言頭上。

作為一個開源項目，Google Chrome和許多“套牌”瀏覽器都採用了基於Chromium的內核。而大部分者所使用的，都是C或C++語言。

谷歌建議，為保上網安全，還請盡快通過瀏覽器內置的更新功能，將瀏覽器升級到最新的72.0.3626.121 版本。

[via ZDNet ]