chrome在野利用0day漏洞预警

chrome在野利用0day漏洞预警

漏洞编号：

CVE-2019-5786

漏洞背景：

北京时间3月6日，360CERT监控到chrome浏览器发布版本更新(72.0.3626.119->72.0.3626.121)，修复了在野利用的CVE-2019-5786。该漏洞危害较为严重，影响较大。

漏洞描述：

CVE-2019-5786是位于FileReader中的UAF漏洞，由Google’s Threat Analysis Group的Clement Lecigne于2019-02-27报告，目前没有公布其它细节。比较两个版本的源代码，发现third_party/blink/renderer/core/fileapi/file_reader_loader.cc有一些改动。在返回部分结果时复制ArrayBuffer以避免对同一个底层ArrayBuffer的多个引用。

影响范围：

版本小于chrome 72.0.3626.121

安全建议：

使用chrome浏览器的用户请打开chrome://settings/help页面查看当前浏览器版本，如果不是最新版(72.0.3626.121)会自动检查升级，重启之后即可更新到最新版。其它使用chromium内核的浏览器厂商也需要根据补丁自查