卡巴斯基確認 Google Chrome 瀏覽器的嚴重 0-day 漏洞,已遭駭侵者大規模運用.png

卡巴斯基發表最新警訊,指出一個存在於 Google Chrome 瀏覽器的 0-day 漏洞,已遭駭侵組織大規模使用。

卡巴斯基說,這個漏洞被用來進行典型的水坑式攻擊。駭侵組織駭入韓國某新聞網站,在該網站中植入一段惡意 JavaScript 程式碼,用戶若使用 Google Chrome 瀏覽該站首頁,就會引發一連串後續的惡意軟體攻擊,導致用戶電腦被用來執行任意程式碼。

卡巴斯基已在第一時間通報 Google,Google 也已釋出安全修補程式,建議所有 Chrome 用戶都能儘快安裝修補程式,避免受害範圍進一步擴大。

卡巴斯基的報告詳述了該惡意攻擊的流程;其惡意程式碼與先前的 Lazarus 攻擊有部分相似之處;而受害者也和早先一起稱為 DarkHotel 的攻擊行動接近。

 

  • CVE編號:CVE-2019-13720
  • 影響產品:Google Chrome 78.0.3904.87 for Windows, Mac, Linux 之前版本
  • 解決方案:安裝 Google 釋出之安全修補程式,或更新至 Chrome 版本 78.0.3904.87
  • 參考連結:
    • https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/
    • https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html
       

【更多資訊產品漏洞】請參考 https://twcert.org.tw/twcert/advistory

    twcert 發表在 痞客邦 留言(0) 人氣()