Chrome零時差弱點已發生攻擊，Google緊急修復

Google 本周釋出 Windows、Mac及Linux平台 Chrome瀏覽器80.0.3987.122版，以修補三項弱點(CVE-2020-6418、CVE-2020-6407、ICU整數溢位)，包括一 個已遭開採的零時差攻擊弱點。

【影響範圍】

• 使用Chrome的用戶

【細節描述】

編號 CVE-2020-6418是由 Google威脅分析小組成員 ClementLecigne，所通報的類型混淆（Typeconfusion）弱點。弱點細節不明，但一般這類弱點允許攻擊者改造如 JavaScript等物件，造成某元件混淆而允許程式碼執行。一旦Chrome用戶被導向惡意網站，可能讓駭客得以遠端執行任意程式碼，可能後果包括竊 取、刪改資料、植入惡意程式 或取得管理員權限。Google並表示，已發現網路上有開採本弱點的情形發生。
另二個弱點分別為編號 CVE-2020-6407、Google Project Zero研究人員 Sergei Glazunov發現的越界記憶體存取（Out of bounds memory access）弱點，以及 Mozilla研究人員 Jeff Walden發現 Chrome ICU（International Components for Unicode）中的整數溢位（integer overflow）弱點。連同 CVE-2020-6418，三者皆被列為高度風險。

【建議措施】
用戶如有在使用 Chrome瀏覽器，建議更新至最新版本 80.0.3987.122，以修補3項高風險弱點。

【更新紀錄】

• v1.0 (2020/02/28)：發佈事件通告。 

iThome (2020/02/26)
Google (2020/02/24)