CVE-2019-5786:chrome在野利用0day漏洞预警

阅读量694179

发布时间 : 2019-03-06 14:52:34

 

0x00 漏洞背景

北京时间3月6日,360CERT监控到chrome浏览器发布版本更新(72.0.3626.119->72.0.3626.121),修复了在野利用的CVE-2019-5786。该漏洞危害较为严重,影响较大。

 

0x01 漏洞详情

CVE-2019-5786是位于FileReader中的UAF漏洞,由Google’s Threat Analysis Group的Clement Lecigne于2019-02-27报告,目前没有公布其它细节。

比较两个版本的源代码,发现third_party/blink/renderer/core/fileapi/file_reader_loader.cc有一些改动。在返回部分结果时复制ArrayBuffer以避免对同一个底层ArrayBuffer的多个引用。

enter description here

 

0x02 安全建议

使用chrome浏览器的用户请打开chrome://settings/help页面查看当前浏览器版本,如果不是最新版(72.0.3626.121)会自动检查升级,重启之后即可更新到最新版。其它使用chromium内核的浏览器厂商也需要根据补丁自查。

enter description here

 

0x03 时间线

2019-02-27 漏洞被报告

2019-03-01 chrome 72.0.3626.121发布

2019-03-05 google表示该漏洞被在野利用

 

0x04 参考链接

  1. https://chromium.googlesource.com/chromium/src/+/150407e8d3610ff25a45c7c46877333c4425f062%5E%21/#F0
  2. Stable Channel Update for Desktop

本文由360CERT安全通告原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/172383

安全客 - 有思想的安全新媒体

分享到:微信
+116赞
收藏
360CERT安全通告
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66