情境示意圖

二月本月初後,Google本周再釋出Chrome桌機版更新,以修補3個程式碼執行漏洞,包括一個已遭開採的零時差漏洞。

Windows、Mac及Linux 版本的89.0.4389.90 版,已透過穩定(Stable)通道釋出。最新更新包含5項安全修補程式,其中3個為高度風險,包括CVE-2021-21191、CVE-2021-21192及CVE-2021-21193。

Google以安全為由,在大多數用戶升級前不公開漏洞資訊,不過捷克安全廠商Cybersecurity Help仍提供了部份說明。

其中CVE-2021-21191存在WebRTC元件中,攻擊者若能誘使用戶點選開啟惡意網站,即能觸發使用已釋放記憶體(Use-After-Free)錯誤,並在受害系統上執行任意程式碼。CVE-2021-21192是微軟瀏覽器安全研究中心通報,出現在Chrome分頁群組功能中,若使用者連上遠端攻擊者設立的惡意網站,將可觸發堆積緩衝溢位(heap buffer overflow),讓攻擊者在其電腦上執行任意程式碼。

第三項漏洞CVE-2021-21193則位於Chrome的Blink算圖引擎,也是透過誘使用戶造訪惡意網站,來觸發使用已釋放記憶體錯誤,進而執行任意程式碼。和前面兩者不同的是,CVE-2021-21193已經有不明開採活動。這是本月第二起,也是今年第三個遭到開採的零時差漏洞。

3項漏洞影響Google Chrome 86到89版,Google也呼籲用戶儘速安裝更新版。

熱門新聞

Advertisement