CVE-2019-13720はChromeの新しい脆弱性です. Googleは、ブラウザのオーディオコンポーネントにおけるこの解放後使用の脆弱性が、現在、実際に悪用されていることをユーザーに警告しています。.
CVE-2019-13720: いくつかの詳細
CVE-2019-13720は、Kasperskyのセキュリティ研究者であるAntonIvanovとAlexeyKulaevによって発見されました
脆弱性は非常に深刻です, そしてユーザーを攻撃の危険にさらしている. ユーザーはChromeの最新バージョンに更新することをお勧めします, 78.0.3904.87, これは、今後数日で展開されます.
脆弱性の悪用に成功すると、攻撃者が脆弱なシステムを制御できるようになる可能性があります.
すでに述べたように, この欠陥は、解放後使用の問題として説明されています. 解放後使用の脆弱性は、実際にはメモリの破損に関連しています. これらの攻撃では, 解放された後、ハッカーがメモリにアクセスしようとしています. これは、さまざまな悪意のあるシナリオにつながる可能性があります, プログラムのクラッシュや任意のコード実行攻撃の実行など.
Googleはこの問題を認識しており、バグの悪用が実際に存在していることを認識しています。. 「「安定したチャネルが更新されました 78.0.3904.87 Windows用, マック, およびLinux, 今後数日/数週間で展開されます,」グーグルは言った.
CVE-2019-13721 – Googleによって修正された別のユーザー解放後のバグ
過去数日間にGoogleが開示した脆弱性はこれだけではありません. もう1つの重大度の高いバグはCVE-2019-13721です, PDFiumに常駐します. PDFiumはFoxitとGoogleによって開発されました, PDF生成およびレンダリングライブラリです.
CVE-2019-13721も解放後使用タイプですが、幸いなことに, バグが野生で悪用されているという証拠はありません. このバグは、「バナナナペンギン」と呼ばれる研究者によって報告されました。 $7500 Googleの脆弱性開示プログラムによる報奨金.
グーグルも 了解しました それ "バグの詳細とリンクへのアクセスは、大多数のユーザーが修正で更新されるまで制限されたままになる可能性があります」.