最新版 Chrome 修复了重要安全漏洞，果断升级

谷歌已经确认最近 Google Chrome 的更新是用来修补流行浏览器中的 0day 漏洞，这是一种可被用于主动攻击的漏洞，官方建议 macOS，Windows 和 Linux 上的所有 Chrome 用户尽快更新其安装。

3月1日发布的 Chrome 补丁包含一个安全漏洞修复程序，标识为 CVE-2019-5786。本次更新仅修复了该问题而未对浏览器进行其他更改，可见问题相当迫切，最新版本在三个平台上都已经是 72.0.3626.121。

安全漏洞影响了 Chrome 的所有桌面版本，对于 Windows 用户来说尤其如此，浏览器的漏洞被主动用作对 Windows 的更复杂攻击的一部分。Google 威胁分析小组的 Clement Lecigne 被认为是发现该漏洞的研究人员，其表示 Google Chrome for iOS 不受安全漏洞的影响。

谷歌更新了该补丁的公告，明确表示 Chrome 的攻击方法已经“在外流传”。 Google Chrome 安全主管贾斯汀·舒赫(Justin Schuh)向 Twitter 发布了有关该漏洞存在的建议，并督促用户尽快使用新补丁更新浏览器。

该漏洞主要源于 Chrome 的 FileReader API 存在内存管理错误，该错误允许网络应用读取桌面上的本地文件。具体来说，当 Web 应用程序尝试访问已从 Chrome 分配的内存中释放或删除的内存时，这是一个称为“释放后使用”漏洞的内存错误，该漏洞使恶意代码能够被执行。

开源中国征稿开始啦！

开源中国 www.oschina.net 是目前备受关注、具有强大影响力的开源技术社区，拥有超过 200 万的开源技术精英。我们传播开源的理念，推广开源项目，为 IT 开发者提供一个发现、使用、并交流开源技术的平台。

现在我们开始对外征稿啦！如果你有优秀的技术文章想要分享，热点的行业资讯需要报道等等，欢迎联系开源中国进行投稿。投稿详情及联系方式请参见：我要投稿

推荐阅读

为什么那么多人用“ji32k7au4a83”作密码？

地表最强逆向框架？美国国家安全局释出 Ghidra

阿里开源组装式 Flutter 应用框架 Fish Redux

又是求职季，这份面试宝典送给你

开发者不太需要关注 Java 收不收费？

「好看」一下，分享给更多人↓↓↓