当 Google 安全研究员 Justine Schuh 发现 Chrome 中存在严重缺陷并公开建议更新浏览器时“下一分钟”,最好遵守。因为,正如另一位安全专家在 Twitter 上所说,“他 a) 能够知道原因,b) 他不经常这样做”。
https://twitter.com/TychoTithonus/status/1103087915129757696
该缺陷在标识符 CVE-2019-5786 下引用。 3月初的版本已修正铬72.0.3626.121。博客说明指出,此漏洞存在于 FileReader 编程接口中,该接口允许读取文档。但谷歌没有提供更多细节,因为正如它在文章中所说,这个缺陷正在被黑客积极利用。鉴于 Justin Schuh 的言论有些令人焦虑,我们可以推断这些攻击正在增加。
尽管如此,几位消息灵通的专家在推特上澄清了这一缺陷的潜在影响。 HD Moore 和 Chaouki Bekrar 的情况尤其如此,他们解释说,它允许您绕过 Chrome 沙箱,从而在操作系统级别执行代码。换句话说,您所要做的就是在网络上打开一个损坏的文档,您的计算机就会被黑客入侵。我们更加了解情况的紧迫性。
https://twitter.com/hdmoore/status/1103303221739687936
要更新 Chrome,只需转到“帮助 → 关于 Google Chrome”。浏览器将自动检查是否有可用更新,如果有,则安装它。要受到保护,版本号必须大于或等于 72.0.3626.121。
