2020/05/04

Google Chrome 驚爆重大安全漏洞!20 億使用者將陷入「遠端執行任意碼」攻擊風險

點閱人次:673

公佈單位:TANet VoIP維運團隊

據 Ducklin 在 Sophos 消費者部落格 NakedSecurity 的貼文指出,Chrome 的漏洞可能會讓攻擊者規避「任何瀏覽器的例行性安全檢查或『確認』對話框」。就像許多「使用釋放後記憶體」漏洞,可能「允許攻擊者更改程式內部的控制流(Control Flow),包括讓 CPU 轉而運行攻擊者從外部植入記憶體的不受信任程式碼。」。

所謂「使用釋放後記憶體」漏洞是指,應用程式繼續使用運行中記憶體或 RAM 的區塊,即使程式已將這些區塊「釋放」給其他應用程式使用卻繼續使用的漏洞。惡意應用程式之所以可利用這個錯誤發動惡意攻擊,是因為能透過捕獲這些釋放的記憶體區塊,誘騙應用程式執行不應該做的事。

由於 Google 將此漏洞評定為「重大級」,所以很可能具備遠端執行程式碼的能力,Ducklin 表示,這意味著惡意攻擊者可「在沒有任何安全警示的情況下,遠端在你的電腦執行程式碼,即使在世界的另一端也能辦到。」 Google 表示 Chrome 81.0.4044.113 版「將在未來幾天/幾週推出」,並為許多桌機使用者自動更新。但 Ducklin 建議手動更新,以防萬一。


以上資訊轉載自科技新報 technews.tw