Google在3月6日发布安全公告,提醒大众Google Chrome有重大远程程序代码执行(Remote Code Execution,RCE)零时差漏洞,且已有攻击情形发生,呼呼吁用户尽快更新到最新版。
编号CVE-2019-5786的漏洞发生在Chrome的FileReader,它是存在于大部分主要浏览器的Web API,让浏览器可以读取存储于用户计算机的文件内容。最新发现的漏洞属于释放后使用(use-after-free)漏洞,安全公司Zerodium首席执行官Chaouki Bekrar指出,该漏洞可让恶意程序代码突破Chrome内存沙箱的限制,而在底层操作系统执行指令。他并预期2019年将会有更重大的零时差漏洞出现,Android、iOS、Windows、Office、虚拟层都有可能出现。
但Google本身并未公布漏洞细节,表示要等到大部分用户都完成更新才会公布。此外,如果其他项目使用的第三方函数库存在这项漏洞且尚未修补,Google也会暂缓公布信息。
Google已于3月初逐步通过稳定版频道(stable channel)发布已修补漏洞的Windows、Mac、及Linux版本Chrome 72.0.3626.121,预计最长需要数周时间完成布署。