Google在3月6日發佈安全公告,提醒大眾Google Chrome有重大遠端程式碼執行(Remote Code Execution,RCE)零時差漏洞,且已有攻擊情形發生,呼籲使用者儘速更新到最新版。

編號CVE-2019-5786的漏洞發生在Chrome的FileReader,它是存在於大部份主要瀏覽器的Web API,讓瀏覽器可以讀取儲存於用戶電腦的檔案內容。最新發現的漏洞屬於釋放後使用(use-after-free)漏洞,安全公司Zerodium執行長Chaouki Bekrar指出,該漏洞可讓惡意程式碼突破Chrome記憶體沙箱的限制,而在底層作業系統執行指令。他並預期2019年將會有更重大的零時差漏洞出現,Android、iOS、Windows、Office、虛擬層都有可能出現。

但Google本身並未公佈漏洞細節,表示要等到大部份用戶都完成更新才會公佈。此外,如果其他專案使用的第三方函式庫存在這項漏洞且尚未修補,Google也會暫緩公佈資訊。

Google已於3月初逐步透過穩定版頻道(stable channel)釋出已修補漏洞的Windows、Mac、及Linux版本Chrome 72.0.3626.121,預計最長需要數周時間完成部署。


Advertisement

更多 iThome相關內容