【PConline资讯】谷歌昨日证实，上周针对Chrome发布的更新，其实是对某个零日漏洞攻击的回应。由原始公告和Chrome安全主管发布的推文可知，攻击者能够利用CVE-2019-5786这个安全漏洞，而上周五（2019年3月1日）发布的Chrome72.0.3626.121更新，就包含了这个唯一的补丁。谷歌将该问题归咎于文件阅读器（FileReader）的内存管理bug。

　　其表示，各大主流浏览器都包含了一个WebAPI，允许Web应用程序读取存储在用户计算机上的文件内容。确切点说，这是一个‘释放后使用’（use-after-free）漏洞：

　　Chrome对分配给自己的内存进行了释放/删除，但另一款应用程序试图对这部分内容进行访问——如果处理不当，可能会导致恶意代码执行。

　　曝光该漏洞的Zerodium首席执行官ChaoukiBekrar表示：CVE-2019-5786漏洞允许恶意代码逃脱Chrome的安全沙箱，并在操作系统的底层上运行命令。

在承认错误的同时，谷歌方面还对发现该漏洞的安全研究人员表示了赞赏。

　　在上月于以色列举办的一场安全会议上，微软安全工程师MattMiller曾表示：该公司每年通报的安全漏洞中，大约有70%都是内存安全bug。

　　显然，GoogleChrome上周处理的CVE-2019-5786，这属于这方面的漏洞——不过我们可以把大锅扣在C和C++这两种“对内存操作不怎么安全”的编程语言头上。

　　作为一个开源项目，GoogleChrome和许多“套牌”浏览器都采用了基于Chromium的内核。而大部分开发者所使用的，都是C或C++语言。

　　谷歌建议，为保上网安全，还请尽快通过浏览器内置的更新功能，将浏览器升级到最新的72.0.3626.121版本。

相关阅读:

Google Chrome画中画窗口即将引入静音按钮！

//pcedu.pconline.com.cn/1236/12365959.html

数据显示Chrome浏览器依然占据统治地位

//pcedu.pconline.com.cn/1235/12356500.html

Chrome将部署bfcache功能 访问速度又将提升

//pcedu.pconline.com.cn/1234/12346625.html