谷歌已經(jīng)確認(rèn)最近 Google Chrome 的更新是用來修補(bǔ)流行瀏覽器中的 0day 漏洞，官方建議 macOS，Windows 和 Linux 上的所有 Chrome 用戶盡快更新其安裝。

3月1日發(fā)布的 Chrome 補(bǔ)丁包含一個安全漏洞修復(fù)程序，標(biāo)識為 CVE-2019-5786。本次更新僅修復(fù)了該問題而未對瀏覽器進(jìn)行其他更改，可見問題相當(dāng)迫切，新版本在三個平臺上都已經(jīng)是 72.0.3626121。

安全漏洞影響了 Chrome 的所有桌面版本，對于 Windows 用戶來說尤其如此，瀏覽器的漏洞被主動用作對 Windows 的更復(fù)雜攻擊的一部分。

谷歌更新了該補(bǔ)丁的公告，明確表示 Chrome 的攻擊方法已經(jīng)“在外流傳”。 Google Chrome 安全主管賈斯汀·舒赫(Justin Schuh)向 Twitter 發(fā)布了有關(guān)該漏洞存在的建議，并督促用戶盡快使用新補(bǔ)丁更新瀏覽器。

該漏洞主要源于 Chrome 的 FileReader API 存在內(nèi)存管理錯誤，該錯誤允許網(wǎng)絡(luò)應(yīng)用讀取桌面上的本地文件。具體來說，當(dāng) Web 應(yīng)用程序嘗試訪問已從 Chrome 分配的內(nèi)存中釋放或刪除的內(nèi)存時，這是一個稱為“釋放后使用”漏洞的內(nèi)存錯誤，該漏洞使惡意代碼能夠被執(zhí)行。

Google 威脅分析小組的 Clement Lecigne 被認(rèn)為是發(fā)現(xiàn)該漏洞的研究人員。Google Chrome for iOS 不受安全漏洞的影響。