Google 本周釋出Windows、Mac及Linux平台Chrome瀏覽器80.0.3987.122版,以修補三項漏洞,包括一個已遭開採的零時差攻擊漏洞。

編號CVE-2020-6418是由Google威脅分析小組成員Clement Lecigne,所通報的類型混淆(Type confusion)漏洞。漏洞細節不明,但一般這類漏洞允許攻擊者改造如JavaScript等物件,造成某元件混淆而允許程式碼執行。一旦Chrome用戶被導向惡意網站,可能讓駭客得以遠端執行任意程式碼,可能後果包括竊取、刪改資料、植入惡意程式或取得管理員權限。Google並表示,已發現網路上有開採本漏洞的情形發生。

另二個漏洞分別為編號 CVE-2020-6407、Google Project Zero研究人員Sergei Glazunov發現的越界記憶體存取(Out of bounds memory access)漏洞,以及Mozilla研究人員Jeff Walden發現Chrome ICU(International Components for Unicode)中的整數溢位(integer overflow)漏洞。連同CVE-2020-6418,三者皆被列為高度風險。

這是一周來Google Chrome小組第二次釋出安全更新版。一周前Google才釋出Chrome 80.0.3987.116版,以修補3項高風險漏洞。

熱門新聞

Advertisement