Google 近日發現 Windows 核心和 Chrome 瀏覽器結合的零時差漏洞

風險等級: 高度威脅
摘 要: 【弱點說明】事件通告:Google 近日發現 Windows 核心和 Chrome 瀏覽器結合的零時差漏洞,建議使用者 Chrome 版本更新,微軟將盡速釋出安全修補!

【影響範圍】

  • Google Chrome 86.0.4240.75 (含)之前版本 (Windows 7/ Windows 10)

【細節描述】

Google 資安團隊 Project Zero 近日發現了存在 Windows 作業系統的一項 0-day 漏洞,恐被駭客利用攻擊,受影響系統包含 Windows 7 到 Windows10 等版本。Project Zero 資安團隊在上週發現漏洞後,立刻向微軟通報,但微軟並沒在7天內釋出安全修補。Google今日(11/1)把該漏洞詳細內容公布在官方網誌上;而微軟官方已發布最新聲明,表示將在最短時間內釋出安全修補程式。
這個由 Google Project Zero 發現的 0-day 漏洞沒有名字,Project Zero 團隊將它編號「CVE-2020-17087」。這個漏洞使攻擊者能夠獲得權限,並由作業系統透過惡意程式進行攻擊。
Google 並指出,有證據顯示目前該漏洞已經遭到使用,而且為一精準攻擊,因而落在7天揭露期限的範圍內,而於10月22日公開。不過 Google 威脅分析小組研判這次攻擊並非針對美國選舉系統而來。CVE-2020-17087 被列為高風險漏洞,Google Project Zero 已通知微軟,微軟預定於11月10日的Patch Tuesday發布修補程式。
微軟對 The Register 指出,將會努力在研究人員的揭露期限要求前,釋出同時滿足時效及品質的安全更新來保護用戶,同時也強調,這項漏洞的開採難度並不低,因為攻擊者需要先駭入
主機再入侵本機作業系統的漏洞。前者目前所知為 Chromium 瀏覽器的漏洞(即CVE-2020-15999),但 Google 已經釋出修補程式。
這表示 Chrome 用戶應儘速升級到最新版本的86.0.4240.111以上,因為 Google 說網路上已存在針對該漏洞的攻擊程式。
另外,由於微軟已停止對 Windows 7 正式支援,除非用戶有付費延展 Windows 7 的安全更新,否則這項 0-day 漏洞無法被修補。

【建議措施】

建議 Chrome 版本更新至 86.0.4240.111 (含)之後版本,可依循操作,
1. 於網址列輸入: chrome://settings/help (或是從設定->關於 Chrome 進到頁面)。
2. 檢視當前瀏覽器版本,並等待 Chrome 自動更新至修補版本: 86.0.4240.111。
3. 確認 Chrome 已經是最新版。
並且於11/10 (美國時間)微軟推出修補程式後,進行系統安全修補,即可完成。

參考資訊: ETtoday 3C
ZDNet
iThome
Project Zero