多個主流網頁瀏覽器 Chrome、Edge 和 Firefox 近期各自修復可導致系統遭挾持的嚴重資安漏洞,用戶應立即更新至最新版本,以避免受此漏洞影響。
多個主流網頁瀏覽器 Google Chrome、Microsoft Edge 和 Mozilla Firefox,近期各自修復可導致系統遭挾持的嚴重資安漏洞;這三種瀏覽器的廣大用戶,應立即更新至最新版本,以避免受此漏洞影響。
在 Mozilla Firefox 方面,修復的漏洞編號為 CVE-2020-16044。這個漏洞屬於「使用已釋放記憶體」(use-after-free)錯誤,發生在 Firefox 處理 cookie 的方式;駭侵者可以透過發送特製的 COOKIE ECHO chunk 以誘發這個錯誤,在執行 Mozilla Firefox 的電腦、手機或平板上發動攻擊,遠端執行任意程式碼,並且可取得裝置的控制權。
這個漏洞的 CVSS 危險程度評分高達 7.7 分,屬於高度危險(High)等級;受影響版本為現行版本 Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本。
而在以 Chromium 為基礎的 Google Chrome 與 Microsoft Edge 方面,則是修復了一個越界寫入(out-of-bounds write)的錯誤;這個錯誤發生在 Google 開發的開源 JavaScript 與 WebAssembly 引擎,亦可導致駭侵者遠端執行任意程式碼,並且奪取系統控制權。
Google Chrome 與 Microsoft Edge 的這個漏洞,編號為 CVE-2020-15995,其 CVSS 危險程度評分高達 8.8 分,危險程度等級屬於「高度危險」,影響的版本分別為 Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本,以及 Microsoft Edge 87.0.664.75 各平台之前所有版本。
- CVE編號:CVE-2020-16044、CVE-2020-15995
- 影響產品:
- Mozilla Firefox:Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本;
- Google Chrome:Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本;
- Microsoft Edge:Microsoft Edge 87.0.664.75 各平台之前所有版本。
- 解決方案:升級到各瀏覽器現行最新版本
- 參考連結
https://www.mozilla.org/en-US/security/advisories/mfsa2021-01/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-16044
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15995
https://msrc.microsoft.com/update-guide/vulnerability/ADV200002
留言列表