Chrome零時差弱點已發生攻擊,Google緊急修復

風險 等級: 高度威脅
摘   要: 【弱點說明】

Google 本周釋出 Windows、Mac及Linux平台 Chrome瀏覽器80.0.3987.122版,以修補三項弱點(CVE-2020-6418、CVE-2020-6407、ICU整數溢位),包括一 個已遭開採的零時差攻擊弱點。

【影響範圍】

  • 使用Chrome的用戶

【細節描述】

編號 CVE-2020-6418是由 Google威脅分析小組成員 ClementLecigne,所通報的類型混淆(Typeconfusion)弱點。弱點細節不明,但一般這類弱點允許攻擊者改造如 JavaScript等物件,造成某元件混淆而允許程式碼執行。一旦Chrome用戶被導向惡意網站,可能讓駭客得以遠端執行任意程式碼,可能後果包括竊 取、刪改資料、植入惡意程式 或取得管理員權限。Google並表示,已發現網路上有開採本弱點的情形發生。
另二個弱點分別為編號 CVE-2020-6407、Google Project Zero研究人員 Sergei Glazunov發現的越界記憶體存取(Out of bounds memory access)弱點,以及 Mozilla研究人員 Jeff Walden發現 Chrome ICU(International Components for Unicode)中的整數溢位(integer overflow)弱點。連同 CVE-2020-6418,三者皆被列為高度風險。

【建議措施】
用戶如有在使用 Chrome瀏覽器,建議更新至最新版本 80.0.3987.122,以修補3項高風險弱點。

【更新紀錄】

  • v1.0 (2020/02/28):發佈事件通告。 
參考 資訊:

iThome (2020/02/26)
Google (2020/02/24)

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *