圖片來源: 

wikipedia

Google 周四釋出Chrome 79.0.3945.130,以減緩和Windows密碼元件漏洞造成的網釣攻擊風險,以及修補另外三項可讓駭客透過Chrome駭入電腦的漏洞。

Google Chrome新版本解決的第一項問題,和Windows CryptoAPI的CVE-2020-0601有關。它影響Windows中名為CryptoAPI 處理的加密元件,後者作用在讓開發人員為其軟體加入數位簽章以防被竄改。該漏洞可讓駭客發送惡意程式碼,以假憑證通過簽章驗證以冒充可信賴方的內容,包括檔案、電子郵件或網站,對終端用戶發送中間人(man-in-the-middle,MiTM)或網釣攻擊。該漏洞被列為「重要」風險(但非最高的「重大」),但因是由過去惡名昭彰的美國國安局(NSA)通報微軟而受人矚目。微軟已經在周二的Patch Tuesday中予以修補。

Chrome版79.0.3945.130 增加在Chrome用戶連入網站前,驗證網站憑證完整性的能力。Google開發人員Ryan Sleevi指出,新版Chrome尚不完美,但在用戶安裝Windows修補程式前已足以提供保護。BleepingComputer測試顯示,在未安裝修補程式的Windows 10 電腦上,若先升級到Chrome 79.0.3945.130,用戶再連上研究人員設立的假網站時,Chrome就會警告連線不安全,攻擊者可能從網站上試圖竊取用戶資訊。

這項功能來得正是時候,因為一名安全研究人員已經在漏洞及修補程式發佈不到24小時內,公開概念驗證攻擊,利用假的TLS憑證冒充NSA及GitHub網站,並騙過數個瀏覽器,包括Chrome、IE的檢查而放行用戶造訪。

除了CryptoAPI的相關驗證不足問題外,新版Chrome 79還另外修補了三項漏洞,其中CVE-2020-6378及CVE-2020-6379可讓駭客誘騙用戶連上惡意網站,觸發UAF(Use-After-Free)錯誤而執行惡意程式碼。CVE-2020-63-80則出在外掛程式處理元件的驗證不足,用戶若不慎下載惡意外掛,將可能遭駭入系統。其中CVE-2020-6378屬風險等級最高的「重大」漏洞,其餘則為「高度」風險。

安全公司Kudelski Security指出,除了Firefox,Chromium-based的瀏覽器和舊IE都受影響。微軟方面沒提出官方說明。但安全部落Swift on Security指稱,微軟昨日公開釋出的新版Chromium-based Edge也能提供防護。


Advertisement

更多 iThome相關內容