“Google披露Chrome中的严重漏洞”

谷歌在万圣节前夕宣布，在78.0.3904.87版中处理了windows、macos和linux的chrome两个严重漏洞。 该企业还在公告中意识到``有漏洞cve-2019-13720利用的报道，表明这种漏洞已经存在于野外。

这两个问题都是在尝试使用不再分配应用程序的内存时出现的漏洞。 cve-2019-13720与chrome音响采用后自由的脆弱性有关； cve-2019-13721是pdfium实用程序的自由后使用漏洞，chrome用于管理pdf文档。

卡巴斯基研究者发现了这些漏洞。 他们使用了对cve-2019-13720的脆弱性更感兴趣的名称——操作向导opium。 卡巴斯基( kaspersky )的博客副本显示，该漏洞利用程序嵌入在韩语信息门户中，该门户用于通过恶意javascript脚本分发恶意软件。

卡巴斯基表示，迄今为止，未能与已知的威胁行为者建立确定的联系。 该企业解释说，虽然与拉撒路攻击有非常弱的代码相似性，但这些很可能是错误的标记。 这意味着有人模仿拉撒路袭击误导研究人员。 ）

两家公司都建议chrome客户尽快安装78.0.3904.87版。 浏览器自动更新功能不需要客户干预，但可以访问浏览器设置菜单中的“chrome”页，仔细查看所使用的chrome版本。

根据谷歌的说法，通过公开cve-2019-13721，奖励了卡巴斯基的研究者7，500美元。 cve-2019-13720的奖励还不明确。 chrome的安全页面至少提供了与浏览器相关的公司漏洞暴露和奖励政策的新闻。

本文：《“Google披露Chrome中的严重漏洞”》