風險等級: | 高度威脅 | |
摘 要: | 【弱點說明】 該弱點存在於 FileReader 中,它旨在允許 web 應用程式異步讀取儲存在用戶電腦上的文件(或者原始資料緩衝區)內容,受影響的系統包括微軟 Windows、蘋果 macOS 和 Linux 系統。
【細節描述】 CVE-2019-5786 是位於 FileReader 中的 UAF 弱點,由 Google's Threat Analysis Group 的 Clement Lecigne 於2019-02-27發佈,目前沒有公佈其它細節。 比較兩個版本的原始碼,發現 third_party/blink/renderer/core/fileapi/file_reader_loader.cc 有一些改動。在返回部分結果時複製 ArrayBuffer 以避免對同一個底層 ArrayBuffer 的多個引用。 【建議措施】 使用 Chrome 瀏覽器的用戶請打開 chrome://settings/help 頁面查看當前瀏覽器版本,如果不是最新版(72.0.3626.121)會自動檢查升級,重啟之後即可更新到最新版,並且一定要確保系統執行的是更新後的 Chrome web 瀏覽器版本。 【更新紀錄】
|
|
參考資訊: |
Technews (2019/03/08) |