Google Chrome爆重大遠端程式碼漏洞，已有攻擊程式流傳

Google在3月6日發佈安全公告，提醒大眾Google Chrome有重大遠端程式碼執行（Remote Code Execution，RCE）零時差漏洞，且已有攻擊情形發生，呼籲使用者儘速更新到最新版。

編號CVE-2019-5786的漏洞發生在Chrome的FileReader，它是存在於大部份主要瀏覽器的Web API，讓瀏覽器可以讀取儲存於用戶電腦的檔案內容。最新發現的漏洞屬於釋放後使用（use-after-free）漏洞，安全公司Zerodium執行長Chaouki Bekrar指出，該漏洞可讓惡意程式碼突破Chrome記憶體沙箱的限制，而在底層作業系統執行指令。他並預期2019年將會有更重大的零時差漏洞出現，Android、iOS、Windows、Office、虛擬層都有可能出現。

但Google本身並未公佈漏洞細節，表示要等到大部份用戶都完成更新才會公佈。此外，如果其他專案使用的第三方函式庫存在這項漏洞且尚未修補，Google也會暫緩公佈資訊。

Google已於3月初逐步透過穩定版頻道（stable channel）釋出已修補漏洞的Windows、Mac、及Linux版本Chrome 72.0.3626.121，預計最長需要數周時間完成部署。