情境圖,Photo by Jilbert Ebrahimi on https://unsplash.com/photos/pVEcNabAg9o

Google甫於10月22日釋出Chrome 78,但隨後因發現了已被開採的零時差漏洞,而緊在10月31日緊急釋出Chrome 78.0.3904.87修補,以供Windows、Mac與Linux用戶更新。

此一零時差漏洞是由卡巴斯基實驗室(Kaspersky Labs)所發現的CVE-2019-13720,它是藏匿在音訊功能中的釋放後使用(Use-after-free)漏洞,將允許駭客掌控受害者系統。

卡巴斯基是在10月29日向Google提報了該漏洞,因為研究人員已發現了開採該漏洞的攻擊行動,卡巴斯基將該攻擊稱為WizardOpium行動,駭客先是在韓文的新聞網站進行水坑攻擊,於該網站上植入了惡意的JavaScript,再等待受害者上鉤。

該惡意腳本會檢查讀者所使用的瀏覽器版本,假設發現讀者採用了Chrome 65或之後的版本,便會展開攻擊行動,藉由於受害者系統上分配與釋放記憶體,再輔以其它的技術,最終取得系統的讀寫權,進而在系統上植入惡意程式以取得控制權,為了持續存在,還會在微軟Windows的工作排程器(Task Scheduler)上安裝任務。

為了避免用戶來不及更新,Google與卡巴斯基都保留了漏洞細節。

其實Chrome 78.0.3904.87也修補了另一個由banananapenguin,在今年10月12日所提報的CVE-2019-13721漏洞,此一漏洞是位於PDFium的釋放後使用漏洞,與CVE-2019-13720同樣屬於高風險漏洞,但尚未遭到駭客利用。


Advertisement

更多 iThome相關內容