卡巴斯基发现Chrome的0day漏洞的利用痕迹

近期，谷歌发布了安全补丁，以解决Chrome中的两个严重漏洞，其中一个早已以“0day”的身份出现在互联网中，在近期的黑客攻击中被多次利用。

这两个漏洞被标记为CVE-2019-13720和CVE-2019-13721，分别和Chrome的音频组件、PDFIum库有关。

根据谷歌发布的报告：

[$7500][1013868] 高严重性 CVE-2019-13721：PDFIum中的Use-after-free漏洞，由Banananapenguin于2019-10-12报告。

[$TBD][1019226] 高严重性 CVE-2019-13720报道：音频组件中的Use-after-free漏洞，由卡巴斯基实验室的Anton Ivanov和Alexey Kulaev于2019年10月29日上报。

谷歌也表示他们清楚CVE-2019-13720漏洞在互联网上的活跃。

这两个漏洞会影响多平台（Windows、Mac和Linux）的Chrome浏览器。谷歌已发布了最新版本78.0.3904.87来修复漏洞，建议用户立即安装更新。

谷歌目前没有公开漏洞的具体细节，只知道这两个漏洞都可能被远程攻击者利用来提升在Chrome浏览器中的权限，以及沙盒逃逸。

“在大多数用户修复漏洞之前，我们不会放出漏洞的错误详细信息。如果有现行项目也依赖于存在漏洞的组件，我们也不会披露漏洞详细信息。”

攻击者可通过诱骗Chrome用户访问自定义的恶意网站来进行攻击，通过Chrome浏览器来执行恶意代码。

卡巴斯基研究人员anton ivanov和alexey kulaev报告了音频组件CVE-2019-13720的0day漏洞。据这两名安全人员透露，这一漏洞所滋生的攻击早已在互联网中被发现，不过研究人员并没有将攻击归咎于某个特定的个人或组织。