谷歌的安全专家在发现黑客正在积极利用的漏洞后建议,Chrome 用户应立即放弃所有内容并将浏览器更新到版本 72.0.3626.121。浏览器旨在在出现安全问题的许多情况下自动更新自身,但在手动重新启动 Chrome 之前,无法修复此特定漏洞。
问题的核心是 CVE--5786,这是一个非常危险的漏洞的可怕名称。谷歌于 年 2 月下旬首次公开识别,它依赖于 Chrome FileReader 的内存管理错误。如果利用得当,它可能允许黑客在用户系统上执行恶意代码。
谷歌一直对更多细节保密,认为在用户有机会更新 Chrome 之前限制对漏洞利用技术性质的认识是有意义的。一周前,它开始推出浏览器的补丁版本,事实上,适用于 Mac、Windows 和 Linux 上的 Chrome。但是,每个可能受影响的人都不太可能安装它。
零日漏洞的严重性 - 以及更新被忽略的可能性 - 鼓励 Google Chrome 安全和桌面工程负责人就修补浏览器的紧迫性发表意见。“说真的,更新你的 Chrome 安装......就像现在一样,”贾斯汀舒赫在 Twitter 上警告用户。Schuh 指出,以这种方式公开发言是不寻常的,但这是有充分理由的。
“过去 0days 通过使用 Flash 作为链中的第一个漏洞来针对 Chrome,”他解释说。“因为 Flash 是一个插件组件,我们可以单独更新它,一旦更新,Chrome 就会悄悄地切换到固定的 Flash,无需重新启动浏览器或任何用户干预。”
然而,在这种特殊情况下,用户不能依赖这种情况发生并保护他们。事实上,虽然 Chrome 可能已经尽其所能在后台修补自己,但没有警告用户,它会被发现等待他们完成最后一部分。
“这个最新的漏洞是不同的,在最初的链中直接针对 Chrome 代码,因此要求用户在下载更新后重新启动浏览器,”Schuh 说。“对于大多数用户来说,更新下载是自动的,但重启通常是手动操作。”
更紧迫的是,正如谷歌之前所说,这不是理论上的黑客情况。事实上,Chrome 漏洞——以及谷歌研究人员在 Microsoft Windows 中发现的第二个漏洞——正在被积极利用。微软显然仍在努力修复其操作系统。