国家计算机网络入侵防范中心发布Google Chrome浏览器高危安全漏洞公告

鉴于Google Chrome浏览器在科研人员中得到广泛使用,中国科技网网络安全应急小组特发布如下警示:Google Chrome浏览器存在高危漏洞,攻击者可以利用这类漏洞向存在漏洞的计算机中植入木马,进行盗窃账号、上传隐私等恶意操作。
影响用户:
使用Google Chrome浏览器7.x及更早版本的用户。
处理办法:
用户点击chrome浏览器右上角扳手图标–>关于谷歌浏览器,确认版本,如果版本为8.0以上则无需进行操作。如果版本为7.x及更早版本,请访问Google Chrome官方网站:http://www.google.com/chrome?hl=zh-CN,下载安装最新。

技术支持:
中国科技网网络安全应急小组,010-58812935,cert@cstnet.cn

详细信息:
当Google Chrome在处理XPath表达式中未定义的函数时,某些情况下会在错误处理路径上对同一数据结构进行两次内存释放,导致出现内存损坏,攻击者可以利用该漏洞在浏览器沙箱的范围内执行任意恶意代码。该漏洞属于内存损坏漏洞(memory corruption)中的双重释放(double free)类型,起因是对相同的内存地址进行了两次释放操作。多余的释放操作会破坏进程堆中的关键数据结构,在满足一定条件时可以被攻击者用来改写指针或者函数的返回地址,从而控制程序的运行流程。

信息来源:
国家计算机网络入侵防范中心