CVE-2019-5786和Windows 0day漏洞组合在野利用预警

2019-03-08 21:18:39
国外安全研究团队发现了Chrome高危0day漏洞(CVE-2019-5786)与另一未公布的Windows平台0day漏洞的组合利用样本,黑客通过组合两枚漏洞实现攻击。

漏洞背景

       昨天,国外安全研究团队发现了Chrome高危0day漏洞CVE-2019-5786与另一未公布的Windows平台0day漏洞的组合利用样本。黑客通过组合两枚漏洞实现攻击。

漏洞详情

CVE-2019-5786是一枚位于FileReader(一种Web API)中的UAF漏洞。该 API 功能主要是让网站和Web应用程序异步读取用户计算机上的文件(或原始数据缓冲区)的内容。黑客可通过该API来对Chrome浏览器的数据进行篡改进行提权,从而绕过 Chrome沙箱保护在目标机器上执行任意代码。要利用此漏洞,黑客仅需要通过文件诱导用户打开特定网页。

第二个漏洞目前仅观察到在Windows7 x86系统的主动利用。这是一枚存在于Windows 内核驱动程序win32k.sys中的本地提权漏洞,成功利用可实现沙箱逃逸。该漏洞是在特殊情况下使用NtUserMNDragOver()系统调用时造成的win32k!MNGetpItemFromIndex中的空指针引用。

除此之外尚未公布更多细节。谷歌的安全研究团队表示,由于Windows 8及更高版本中最近增加了漏洞利用缓解措施,因此该漏洞可能只能在Windows 7上被利用。

漏洞曝光时间2019-02-26

受影响软件以及版本

CVE-2019-5786Windows、苹果macOsLinux平台上的Google Chrome浏览器72.0.3626.121以下版本

Windows 0dayWindows7所有版本

安全建议:

谷歌官方已为CVE-2019-5786紧急推出 WindowsMac Linux 的版本更新,建议用户尽快将Chrome浏览器升级至最新版本72.0.3626.121以修复该漏洞

另一Windows平台的0day漏洞目前暂无官方补丁,建议用户考虑将系统升级至Windows10以规避该漏洞,或等待微软完成紧急修复。

最新资讯