谷歌Chrome浏览器曝零日漏洞 请尽快更新

月神侠

软件升级不是每次都和体验新功能挂钩，有时它还是修复问题的一个必要途径。谷歌于3月7日在官方博客发文，称发现了影响Chrome浏览器，以及32位Windows 7系统的零日漏洞，并呼吁用户尽快升级3月1日推出的 Chrome 72.0.3626.121 版本。

根据谷歌安全研究员的说法，这一漏洞是Windows win32k.sys内核驱动程序中的本地权限升级，可用作安全沙箱转移。据谷歌的发现，由于新版本的Windows中已经添加了应对漏洞的预防措施，这一漏洞仅对Windows 7 32位操作系统产生影响。

安全人员将其描述为谷歌Chrome中的FileReader中的内存管理错误。所有主流浏览器中都包含一个Web API，可以让Web应用读取存储用户计算机本地存储上的内容。

恶意代码专门针对Chrome浏览器中的漏洞，也就是说当用户在专用的PDF阅读器（如AdobeReader）中打开时，PDF文档不会泄漏任何个人信息，而在浏览器中打开这些恶意PDF，会触发到两个不同之一的出站流量，分别称为burpcollaborator.net和readnotify.com。目前避免此漏洞侵害的最简单方法是避免在Chrome浏览器中打开任何PDF文档。

据称，黑客可以利用这一漏洞，以及一个藏于 Windows 7 内核的漏洞，可以让恶意代码逃脱Chrome的安全沙箱，在底层操作系统上执行命令。因此，谷歌Chrome的安全主管建议，用户应尽快更新浏览器。

物哀

只影响32位的7？

samfs

*

DazzleP

物哀 发表于 2019-3-11 00:07
只影响32位的7？

是chrome的洞，和windows版本无关

提win7 32位是因为win7 32位下可以更进一步用内核漏洞穿沙箱

这也不代表win10就没问题了，天知道现在有没有在野的win10 内核0day

—— 来自 vivo NEX S, Android 8.1.0上的 S1Next-鹅版 v2.0.4-play

橋白

恶意猜一下 真的不是强迫更新的手段吗

bonbonfox

顺便问一下你们知道这个服务是干嘛的？
Google Chrome Elevation Service

夜语

橋白 发表于 2019-3-11 00:40
恶意猜一下 真的不是强迫更新的手段吗

Android chrome 65.
因为习惯图上这种地址栏下移的版本所以呆在这。
前些天刚出现的。

序曲

移动版这种没插件的更新就更新了吧，更不更都得被广告糊脸

niyikaowo

就是想骗走我的油猴

—— 来自 samsung SM-G9500, Android 8.0.0上的 S1Next-鹅版 v2.1.2

AraTurambar

Chrome自己不就是最大的那个漏洞吗？

橋白

bonbonfox 发表于 2019-3-11 01:15
顺便问一下你们知道这个服务是干嘛的？
Google Chrome Elevation Service

https://techdows.com/2018/12/wha ... hat-does-it-do.html
While searching for something on our computer we’ve stumbled onto elevation_service.exe in the Chrome application folder in Program Files (x86) and after some digging, we learned that it is a service installed by Google Chrome and needed for Chrome Recovery component to repair Google Update when chrome doesn’t update. Read more about what Elevation Service is, why Chrome installed it on your computer and what is the purpose of it or what does it do behind the scenes, below.
看样子是强行更新用的？。。。

Endle

firefox 用户情绪稳定
Chromium 受影响了吗？