Google 近日發現 Windows 核心和 Chrome 瀏覽器結合的零時差漏洞

【影響範圍】

• Google Chrome 86.0.4240.75 (含)之前版本 (Windows 7/ Windows 10)

【細節描述】

Google 資安團隊 Project Zero 近日發現了存在 Windows 作業系統的一項 0-day 漏洞，恐被駭客利用攻擊，受影響系統包含 Windows 7 到 Windows10 等版本。Project Zero 資安團隊在上週發現漏洞後，立刻向微軟通報，但微軟並沒在7天內釋出安全修補。Google今日(11/1)把該漏洞詳細內容公布在官方網誌上；而微軟官方已發布最新聲明，表示將在最短時間內釋出安全修補程式。
這個由 Google Project Zero 發現的 0-day 漏洞沒有名字，Project Zero 團隊將它編號「CVE-2020-17087」。這個漏洞使攻擊者能夠獲得權限，並由作業系統透過惡意程式進行攻擊。
Google 並指出，有證據顯示目前該漏洞已經遭到使用，而且為一精準攻擊，因而落在7天揭露期限的範圍內，而於10月22日公開。不過 Google 威脅分析小組研判這次攻擊並非針對美國選舉系統而來。CVE-2020-17087 被列為高風險漏洞，Google Project Zero 已通知微軟，微軟預定於11月10日的Patch Tuesday發布修補程式。
微軟對 The Register 指出，將會努力在研究人員的揭露期限要求前，釋出同時滿足時效及品質的安全更新來保護用戶，同時也強調，這項漏洞的開採難度並不低，因為攻擊者需要先駭入
主機再入侵本機作業系統的漏洞。前者目前所知為 Chromium 瀏覽器的漏洞（即CVE-2020-15999），但 Google 已經釋出修補程式。
這表示 Chrome 用戶應儘速升級到最新版本的86.0.4240.111以上，因為 Google 說網路上已存在針對該漏洞的攻擊程式。
另外，由於微軟已停止對 Windows 7 正式支援，除非用戶有付費延展 Windows 7 的安全更新，否則這項 0-day 漏洞無法被修補。

【建議措施】

建議 Chrome 版本更新至 86.0.4240.111 (含)之後版本，可依循操作，
1. 於網址列輸入： chrome://settings/help (或是從設定->關於 Chrome 進到頁面)。
2. 檢視當前瀏覽器版本，並等待 Chrome 自動更新至修補版本: 86.0.4240.111。
3. 確認 Chrome 已經是最新版。
並且於11/10 (美國時間)微軟推出修補程式後，進行系統安全修補，即可完成。