【漏洞预警】Chrome浏览器最新0day漏洞

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/11/03 16:42:29 253
文章来源:https://mp.weixin.qq.com/s/sfMzHUaYf2hyN2iGF9xpfQ

                                

前言

Chrome是由Google开发的免费网页浏览器,Chrome代码是基于其他开放源代码软件所编写,包括Apple WebKit和Mozilla Firefox,并开发出称为“V8”的高性能JavaScript引擎。Google Chrome的整体发展目标是提升稳定性、速度和安全性,并创造出简单且有效率的用户界面。据StatCounter统计,截至2018年第一季度,Google Chrome在全球桌面浏览器中有66%的占有率。


漏洞简介

近日国外安全厂商卡巴斯基发现了在野的Chrome 0 day漏洞,Google官方已确认存在一个此0 day漏洞,并将其分配为CVE-2019-13720。随后卡巴斯基发布简要分析文章指出在低于Windows,Mac和Linux的Chrome版本78.0.3904.87下存在浏览器UAF漏洞,受害者一旦访问包含漏洞js的站点就会被恶意安装持久性后门。


漏洞危害

经斗象安全应急响应团队分析,攻击者利用该0day漏洞,可对未使用Chrome浏览器最新版本的用户造成恶意攻击,受害者电脑会被安装持久性后门,甚至会造成远程代码执行,由于Chrome用户量占比很大,所以造成的危害影响很大。


影响范围

产品

Chrome

版本

低于78.0.3904.87


漏洞复现

由于存在漏洞披露原则,目前公网暂无详细的漏洞分析过程与相关复现案例。


修复方案

1、升级Chrome至78.0.3904.87版本


参考

https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html

https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/

以上是本次高危漏洞预警的相关信息,如有任何疑问或需要更多支持,可通过以下方式与我们取得联系。

联系电话:400-156-9866

Email:help@tophant.com

推荐关注

指导单位
广东省公安厅网络警察总队 | 广东省信息安全等级保护协调小组办公室