谷歌Chrome更新变得严肃起来：国土安全部(CISA)证实正在进行攻击

美国国土安全部网络安全局表示，更新谷歌Chrome浏览器是因为攻击者发现了新的安全漏洞。

在短短三周的时间里，谷歌已经在Chrome网页浏览器中修补了不下五个潜在的危险漏洞。

这些也不是您常见的漏洞，而是所谓的零日漏洞。零日漏洞是指攻击者在供应商或威胁情报机构不知道的情况下主动利用的漏洞。

一旦供应商意识到安全漏洞，即第0天，它就可以开始缓解攻击，但不是在此之前。因此，袭击者抢占了先机。

最近发现的两个零日被归类为高度严重的性质，并影响Chrome for Windows，Mac和Linux。

CVE-2020-16013和CVE-2020-16017的确切细节尚未公开，因为谷歌限制访问此类信息，直到大多数用户更新。

然而，国土安全部网络安全机构CISA建议，攻击者可以利用其中一个漏洞来控制受影响的系统。

我可以确认CVE-2020-16013与Chrome的V8JavaScript引擎相关，并且涉及一个错误处理的安全检查。利用该漏洞很可能需要攻击者将受害者定向到恶意网页。

另一方面，CVE-2020-16017似乎是Chrome网站沙箱功能中一个称为站点隔离的内存崩溃漏洞。

坏消息是，攻击者已经确切知道这些漏洞是什么，以及如何利用它们。中国钢铁工业协会已经证实，这些安全漏洞已经在野外的漏洞攻击中被检测到了。(工业和信息化部电子科学技术情报研究所陈皓)。

不出所料，中钢协鼓励用户尽快应用谷歌过去一周推出的必要更新。

当然，这应该是个好消息，但生活从来没有那么简单。自动更新可确保Chrome在浏览器重新启动后更新到最新版本。

并不是每个人都会启用自动更新，也不是所有启用自动更新的人都会定期重启Chrome。

用户应该从右上角的三点菜单中进入帮助选项，然后选择关于Google Chrome。这将启动下载最新版本(如果尚未下载)，并提示您重新启动浏览器。

事情是这样的：有些人更新浏览器的速度很慢，这会让攻击窗口打开几天、几周，在某些情况下甚至更长时间。当涉及到Chrome浏览器应用时，这一点尤为明显。

当谷歌在本月早些时候的一个零日漏洞CVE-2020-16010之后迅速更新Chrome时，用户保护自己的速度很慢。

更新版本的Chrome在Play Store上发布24小时后，Lookout安全解决方案高级经理汉克·施莱斯(Hank Schless)告诉我，我们观察到大约有一半的Android用户更新了他们的应用。

除了前面提到的自动更新问题，施莱斯指出，部分原因是老款安卓设备不支持更新软件。

过时的移动设备可能和过时的应用程序一样危险，他说，这使得用户的个人或工作数据容易受到攻击者的攻击，攻击者可能会利用更新版本的移动应用程序或操作系统中修补的漏洞进行攻击。他说，过时的移动设备可能和过时的应用程序一样危险，这使得用户的个人或工作数据容易受到攻击者的攻击，攻击者可能会利用更新版本的移动应用程序或操作系统中的漏洞进行攻击。

我已经就过去几周内零日漏洞的接二连三的问题联系了谷歌，如果有任何声明即将发布，我将更新这篇文章。