Google 呼籲盡快更新 80.0.3987.122 版本
Google 在 2 月 19 日發佈了 Chrome 80.0.3987.116 正式版更新,不過在相隔 6 日之後又急急發佈了另一個 Chrome 80.0.3987.122 更新,本次的緊急更新主要是修復 3 項存在於 Chrome 瀏覽器「高危級別」的安全漏洞,其中一個更是已遭開採的零時差攻擊漏洞,黑客可經由精心編造的代碼來欺騙瀏覽器,導致程式記憶體中出現邏輯錯誤,甚至不受限制地執行惡意代碼。
Google Chrome 瀏覽器開發團隊 Clement Lecigne 在 2 月 18 日發現 Chrome 瀏覽器存在安全漏洞,基於安全考慮目前 Google 尚未公開漏洞的相關細節,不過有研究人員已經針對該漏洞進行研究,從目前分析結果來看借助漏洞攻擊者可以引發記憶體損壞,從而執行任意代碼。
據了解,在 Chrome 瀏覽器被發現的漏洞編號為「CVE-2020-6383」,屬於高危級別,該漏洞與“V8 某元件混淆”有關,V8 是一個由 Google 開發的開源 JavaScript 引擎,是 Chrome 瀏覽器的一個重要部份,主要負責 JavaScript 代碼處理,V8 引擎在處理數據時會先判斷數據類型然後進行針對性處理,但有研究人員發現該引擎有時候可能會錯誤識別。
可見增加了一個 JavaScript 文件並加了程式碼執行
攻擊者就利用引擎存在錯誤識別的問題,改造如 JavaScript 等物件,造成某元件混淆而允許程式碼執行。攻擊者就會製作具有針對性的惡意網站,用作欺騙用戶及混淆騙過引擎,引擎在處理相關數據時更會出現記憶體邏輯錯誤引發崩潰,此時攻擊者就可以在不受限制的情況下執行任意代碼威脅用戶的安全,包括竊取/刪改用戶的資料、植入惡意程式或取得管理員權限。
另外 2 個安全漏洞編號為「CVE-2020-6384」及「CVE-2020-6386」,同樣屬於高危級別,「CVE-2020-6384」為 Chrome WebAudio 資源管理錯誤漏洞,WebAudio 是 Chrome 其中的一個音頻組件,在 80.0.3987.116 之前版本中的 WebAudio 存在資源管理錯誤漏洞,遠程攻擊者可藉助特製的網站利用該漏洞執行任意代碼或造成拒絕服務。
「CVE-2020-6386」為則為 Chrome Speech 資源管理錯誤漏洞,在 80.0.3987.116 之前版本中的 Chrome Speech 部份存在資源管理錯誤漏洞,遠程攻擊者可藉助特製的網站利用該漏洞利用該漏洞執行任意代碼或造成拒絕服務。
需要留意的是,Google 指出編號「CVE-2020-6383」已發現網路上有開採本該漏洞的情形發生,是過去一年 Google 被曝出的第三個已被開採的 Chrome 零日漏洞。
Google 已發佈針對 Windows、Mac、Linux 的 Chrome 80.0.3987.122 更新修補 3 個安全漏洞,目前已經開始向 Chrome 用戶推送經過修復的新版本,若用戶還未升級新版則應該立即檢查更新升級新版本確保安全。
更多關於是次漏洞的資訊及更新方法,可瀏覽以下 Google 官方網站:
https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html
https://support.google.com/chrome/answer/95414?hl=en&ref_topic=7438008