一個影響所有Chromium瀏覽器的漏洞,在Google還來不及釋出更新版本前,遭研究人員公開開採程式。目前Google僅緊急釋出更新版的Android版Chrome。

這個漏洞是由另二名安全研究人員Bruno Keith (@bkth_與Niklas Baumstark (@_niklasb)在PwnOwn駭客大賽中發現並通報,兩人因此項發現獲得10萬美元。漏洞一經發現需交給Chrome安全團隊製作修補程式,因此並未對外公開。

不過研究人員Rajvardhan Agarwal本周稍早在推特上貼文,顯示本漏洞發生在Chromium JavaScript v8引擎。Agarwal昨天貼出GitHub下載網頁連結,公布針對該漏洞的開採程式。

雖然Chromium團隊已經在上周釋出修補v8的漏洞,但是該修補程式當時並未整合到以Chromium為核心的瀏覽器,因此包括Chrome、Edge、Brave、Opera等仍然處於曝險狀態。

Agarwal貼出的概念驗證攻擊程式包含一個HTML檔及JavaScript檔,可讓攻擊者在用戶電腦作業系統上執行程式,包括惡意程式碼,不過僅能算一半的攻擊程式,不致於立即造成危害,因為攻擊者還需另外突破Chromium瀏覽器如Chrome的沙箱。

但是Agarwal 對The Record指出,若駭客攻擊的服務執行的是未啟動沙箱防護的Chromium,該漏洞就相當危險。

昨日Google緊急釋出Android版Chrome 90 (90.0.4430.66)版本,但其他平臺版本則要再幾周,才會在Google Play Store上架。


熱門新聞

Advertisement