更新(2019-03-21)

CVE-2019-5786的概念验证已完成出埃及记英特尔出版.在我们之前的帖子中,我们在声明我们会阻止这个零日之前非常谨慎,但我们现在可以自信地说,Malwarebytes的一个旧版本(1.12.1.122)可以减轻这种攻击:必威平台APP

这显示了允许向Chrome注入某些应用程序的好处,而谷歌的新政策已经禁止了这一点。

- - - - - -

我们很少听说谷歌Chrome中存在严重漏洞,当谷歌自己的工程师敦促用户修补时,这种情况可能更为罕见。

有几个很好的理由可以解释为什么你需要参加这个新的Chrome zero日(CVE-2019-5786)严重。对于初学者来说,我们谈论的是一种完全利用,它可以逃离沙箱并导致远程代码执行。这本身就不是一件容易的事情,而且可能只会偶尔被发现在Pwn2Own比赛中。但是这一次,谷歌表示这个漏洞正在被广泛使用。

根据莱西涅酒店谷歌的威胁分析小组发现了这次攻击另一个零日这表明,这两者可能会造成更大的损害。

CVE-2019-5786的概念验证

如果你正在运行谷歌Chrome,其版本低于72.0.3626.121,你的计算机可能会被利用,而你不知道。虽然Chrome确实有一个自动更新组件,但为了安装补丁,你必须重新启动浏览器。

这可能看起来不是什么大事,但它确实是。另一位谷歌工程师解释了为什么与过去相比,这很重要利用

考虑到有多少用户在没有重新启动浏览器的情况下,将Chrome和所有的标签页打开数天甚至数周,安全影响是真实的。

考虑到谷歌向互联网的转变,一些人可能会觉得最近的零日有点讽刺意味禁止第三方软件注入。许多安全程序,包括Malwarebytes,需要挂接到浏览器和常见的O必威平台APPffice应用程序等进程中,以便检测和阻止漏洞利用。但是,我们无法确定这是否可以防止漏洞被利用,因为目前还没有共享详细信息。

与此同时,如果您还没有这样做,那么您应该这样做更新和重新启动Chrome;不用担心你的账单,它们会马上回来的。