谷歌昨天透露，上周針對Chrome的補丁實際上是針對零日攻擊活動的修復(fù)。

這些攻擊利用了CVE-2019-5786，這是一個安全漏洞，也是2019年3月1日上周五發(fā)布的Chrome 72.0.3626.121版本中唯一的補丁。

根據(jù)其原始公告的更新和Google Chrome安全主管的推文，補丁發(fā)布時，修補后的錯誤處于主動攻擊狀態(tài)。

谷歌將安全漏洞描述為谷歌Chrome的FileReader中的內(nèi)存管理錯誤 -所有主流瀏覽器中都包含一個Web API，允許Web應(yīng)用程序讀取存儲在用戶計算機上的文件內(nèi)容。

更具體地說，該漏洞是一種免費使用后漏洞，一種應(yīng)用程序在從Chrome分配的內(nèi)存中釋放/刪除內(nèi)存后嘗試訪問內(nèi)存時發(fā)生的一種內(nèi)存錯誤。對此類內(nèi)存訪問操作的錯誤處理可能導(dǎo)致惡意代碼的執(zhí)行。

根據(jù)漏洞供應(yīng)商Zerodium的首席執(zhí)行官Chaouki Bekrar的說法，CVE-2019-5786漏洞據(jù)稱允許惡意代碼逃脫Chrome的安全沙箱并在底層操作系統(tǒng)上運行命令。除了揭露剝削嘗試之外，瀏覽器制造商還對發(fā)現(xiàn)該漏洞的安全研究人員表示贊賞 - 谷歌威脅分析小組的Lecigne元素。

微軟安全工程師Matt Miller上個月在以色列舉行的一次安全會議上表示，微軟每年發(fā)布的安全漏洞中大約有70%是內(nèi)存安全錯誤，就像Chrome團隊上周補丁一樣。

大多數(shù)錯誤來自使用C和C ++，兩種“內(nèi)存不安全”的編程語言，也用于Chromium源代碼，這是Google Chrome所基于的開源項目。

建議Google Chrome用戶使用瀏覽器的內(nèi)置更新工具觸發(fā)72.0.3626.121版本的更新。用戶應(yīng)立即執(zhí)行此操作，尤其是當建議來自Google Chrome的安全主管時。