Google 推出新版 Chrome,解決已遭大規模利用的 0-day 資安漏洞.png

Google 最近推出最新版本的 Google Chrome 86.0.4240.111,修補多個資安漏洞,其中包括一個已被廣泛用於駭侵攻擊的記憶體崩潰錯誤。

這個漏洞的編號為 CVE-2020-15999,其 CVSS 危險程度評分分數高達 7.7,屬於「嚴重」(critical) 等級。漏洞存在於 Google Chrome 用以處理 FreeType 字體的程式庫;駭侵者可利用特製的 TTF 字型檔案,誘發記憶體崩潰,藉以遠端執行任意程式碼。

據資安廠商 Cybersecurity Help 指出,這個 CVE-2020-15999 已遭駭侵者大規模使用;未及更新 Google Chrome 的用戶,有可能因為這個漏洞而遭到攻擊,導致整個電腦系統被駭侵者挾持。

Google 內部的資安研究團隊 Project Zero 率先發現這個 0-day 漏洞,雖然漏洞相關細節在此前並未公開,但顯然已遭駭侵者掌握,用以發動攻擊。

資安專家也指出,由於修補此一漏洞的程式碼可在 FreeType 的開源專案中檢視,因此駭侵者也很可能在未來數周之內利用逆向工程,找到觸發漏洞的方法,並加入其駭侵工具之中。

所有 Google Chrome 各平台與各版本用戶,皆應立即升級至 86.0.4240.111 或更新版本,以避免遭駭侵者透過此漏洞發動攻擊。

  • CVE編號:CVE-2020-15999
  • 影響產品/版本:Google Chorme 各平台 86.0.4240.111 先前版本
  • 解決方案:升級至 Google Chorme 86.0.4240.111 及之後版本

  • 參考連結

https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop_20.html

https://twitter.com/benhawkes/status/1318640422571266048

https://www.cybersecurity-help.cz/vdb/SB2020102038

https://www.zdnet.com/article/google-releases-chrome-security-update-to-patch-actively-exploited-zero-day/

    twcert 發表在 痞客邦 留言(0) 人氣()