Google紧急修补已被开采的Chrome零时差漏洞

Google始于10月22日发布Chrome 78，但随后因发现了已被开采的零时差漏洞，而紧在10月31日紧急发布Chrome 78.0.3904.87修补，以供Windows、Mac与Linux用户更新。

该零时差漏洞是由卡巴斯基实验室（Kaspersky Labs）所发现的CVE-2019-13720，它是藏匿在音频功能中的释放后使用（Use-after-free）漏洞，将允许黑客掌控受害者系统。

卡巴斯基是在10月29日向Google提报了该漏洞，因为研究人员已发现了开采该漏洞的攻击行动，卡巴斯基将该攻击称为WizardOpium行动，黑客先是在韩文的新闻网站进行水坑攻击，于该网站上植入了恶意的JavaScript，再等待受害者上钩。

该恶意脚本会检查读者所使用的浏览器版本，假设发现读者采用了Chrome 65或之后的版本，便会展开攻击行动，借由于受害者系统上分配与释放内存，再辅以其它的技术，最终取得系统的读写权，进而在系统上植入恶意程序以取得控制权，为了持续存在，还会在微软Windows的工作调度器（Task Scheduler）上安装任务。

为了避免用户来不及更新，Google与卡巴斯基都保留了漏洞细节。

其实Chrome 78.0.3904.87也修补了另一个由banananapenguin，在今年10月12日所提报的CVE-2019-13721漏洞，该漏洞是位于PDFium的释放后使用漏洞，与CVE-2019-13720同样属于高风险漏洞，但尚未遭到黑客利用。