圖片來源: 

Copyright © The Chromium projects on https://zh.m.wikipedia.org/zh-hant/File:Chromium_Material_Icon.png (CC BY 2.5)

Google上周釋出Windows、Mac、Linux版Chrome 81.0.4044.113,以修補一項重大風險的遠端程式碼執行(RCE)漏洞,可能讓遠端攻擊者暗中執行惡意程式,用戶應儘速升級到最新版本。

Google指出,最新版本Chrome將在未來幾天,最遲幾周內部署到桌機用戶。

本次版本修補的漏洞,由中國安全廠商奇虎360 Alphabet實驗室的研究人員於4月初通報。該漏洞編號為CVE-2020-6457,屬於影響Chrome語音辨識元件中的使用已釋放記憶體(Use after free,UaF)漏洞。

不過Google並未公開本漏洞細節,表示要等到大部份用戶,都接獲更新才會公布。此外,擔心其他專案使用的第三方函式庫尚未修補這項漏洞,因此Google也限制存取相關資訊。

UaF漏洞是記憶體毁損漏洞,通常是由攻擊者發送指令觸發,進而在記憶體內寫入並執行惡意程式。安全廠商Sophos指出,某些情況下UaF漏洞可能讓攻擊者變更程式內的控制流,像是導引CPU執行由攻擊者寫入記憶體、不受信任的程式碼,而繞過瀏覽器正常的安全檢查,或「你確定要執行?」的對話框,也是遠端程式碼執行(remote code execution,RCE)漏洞。

Sophos解釋,這類漏洞可讓攻擊者在不觸發警告,在受害電腦上遠端執行程式碼,也是最嚴重的漏洞類型。

該漏洞僅影響Windows、Mac、Linux版Chrome 81。Google表示並不影響ChromeOS版。

GitHub安全研究人員本周稍早也揭露影響Chrome 80 WebAudio元件的另一個重大風險RCE漏洞,編號CVE-2020-6450,可讓駭客引誘用戶連上惡意網站開採。它起於2月間CVE-2020-6427,以及CVE-2020-6429這二項漏洞修補不全所致,如果用戶Chrome仍在80.0.3987.162 之前版本,也應儘速升級。


Advertisement

更多 iThome相關內容