又见Uaf漏洞，Google发布Chrome紧急安全

　　前不久Google把计算机版Chrome的一项安全措施也推到了安卓端上面。不过显然Chrome的安全性还是有待加强，就在昨天，Google就发布了一个针对Chrome浏览器两个漏洞的紧急更新，吓得笔者马上更新了。

　　Chrome 78.0.3904.87更新最主要的内容，是修复两个分别可以影响Chrome音频程序（CVE-2019-13720）以及隐藏于PDFium目录（CVE-2019-13721）的安全漏洞。根据Google的说法，两者都是属于释放后重用（Use-after-Free，下称UaF）的高危漏洞，且其中之一已经被黑客大量用于入侵及骑劫计算机。

　　UaF漏洞是内存损坏问题的其中一种，它可以让非法用户透过破坏或修改内存数据，来提升自己在该系统或软件的权限。

　　虽然Google并没有给出该两个漏洞的具体资料，但网络安全公司Kaspersky透露，这次黑客入侵了一个韩语新闻网站，并且把恶意代码以水坑攻击的形式藏起来，等待Chrome用户中招。

　　据称用户中招后，代码会透过利用CVE-2019-13720这个漏洞，把第一批的恶意软件安装到目标计算机上，之后恶意软件会连接到一个远程强制编码的命令与执行（Command-and-Control）服务器来下载余下的部分。

　　第一批shellcode

　　因此，上面提及的两个漏洞都可以让黑客通过诱使Chrome浏览器用户访问恶意网络，绕开沙盒的检查从而肆意在目标系统中运行恶意代码。

　　其实这已经不是第一次在Chrome上发现Uaf漏洞。就在一个月前，Google也发布过为修复4个Uaf漏洞而设的紧急安全更新，其中最严重的甚至可以让黑客完全控制被感染的计算机。这使得Uaf漏洞成为了Chrome浏览器上最近几个月来最常见的安全漏洞。