Chrome 浏览器被发现两个严重漏洞，其中一个已被利用

11 月 4 日消息，Google Chrome 浏览器被发现存在两处高危险漏洞。漏洞允许骇客进行特权提升，进而对使用者电脑进行高级别的恶意攻击。

Chrome 安全小组表示，use-after-free 形式漏洞允许骇客在受感染装置上执行任意代码。其中一个漏洞存在于浏览器的音频组件（CVE-2019-13720）中，而另一个存在于 PDFium 库（CVE-2019-13721）中。Windows、macOS 和 GNU / Linux 三大平台版本均受影响。

这两个漏洞的严重程度都很高，两者均允许骇客在 Chrome 浏览器中执行任意代码、获得敏感资讯甚至绕过主机未经授权的安全机製完全操控电脑。

两个漏洞中 CVE-2019-13720 已经被骇客利用。据卡巴斯基称，该漏洞被骇客用于进行水坑攻击（也称 WizardOpium）的活动。攻击疑似来自 Darkhotel 的网军，其入侵了一个南韩网站，并挂上了 js 脚本。

在此次攻击中，漏洞利用代码进行了混淆处理，而该代码还有很多的调试代码。该 0Day 利用两个线程之间缺少适当的同步这一特点，造成竞争条件错误，这使得攻击者处于网站权限的解放状态，从而导致越权代码的执行。

目前，Google 已经发布这两个漏洞的紧急修补程式并修复漏洞，Chrome 浏览器稳定版已经升级至 78.0.3904.87，建议所有 Chrome 使用者尽快升级至最新版本。