Google Chrome 驚爆重大安全漏洞!20 億使用者將陷入「遠端執行任意碼」攻擊風險

作者 | 發布日期 2020 年 04 月 21 日 12:48 | 分類 Google , 網路 , 資訊安全 Telegram share ! follow us in feedly


Google 上週發布 Chrome 網路瀏覽器安全更新,包含針對重大安全漏洞的修補程式。但因不希望邪惡駭客利用漏洞發動攻擊,因此除了表示漏洞涉及「語音辨識模組『使用釋放後記憶體』(Use-After-Free,UAF)漏洞」,就沒有透露更多細節。

多虧安全方案商 Sophos 旗下安全研究員 Paul Ducklin 的貼文,讓我們對適用 Windows、Mac 及 Linux 使用者的 Chrome 81.0.4044.113 版安全修補有更充分的了解,同時了解為什麼需要及應該如何檢查以確保獲得安全更新的理由與方法。

據 Ducklin 在 Sophos 消費者部落格 NakedSecurity 的貼文指出,Chrome 的漏洞可能會讓攻擊者規避「任何瀏覽器的例行性安全檢查或『確認』對話框」。就像許多「使用釋放後記憶體」漏洞,可能「允許攻擊者更改程式內部的控制流(Control Flow),包括讓 CPU 轉而運行攻擊者從外部植入記憶體的不受信任程式碼。」Ducklin 表示。

所謂「使用釋放後記憶體」漏洞是指,應用程式繼續使用運行中記憶體或 RAM 的區塊,即使程式已將這些區塊「釋放」給其他應用程式使用卻繼續使用的漏洞。惡意應用程式之所以可利用這個錯誤發動惡意攻擊,是因為能透過捕獲這些釋放的記憶體區塊,誘騙應用程式執行不應該做的事。

由於 Google 將此漏洞評定為「重大級」,所以很可能具備遠端執行程式碼的能力,Ducklin 表示,這意味著惡意攻擊者可「在沒有任何安全警示的情況下,遠端在你的電腦執行程式碼,即使在世界的另一端也能辦到。」 Google 表示 Chrome 81.0.4044.113 版「將在未來幾天/幾週推出」,並為許多桌機使用者自動更新。但 Ducklin 建議手動更新,以防萬一。

透過「關於 Google Chrome」選項自動或手動完成安全更新

請在瀏覽器的工具列找到「關於 Google Chrome」瀏覽器選項,通常在畫面右上角垂直堆疊排列的 3 個點的圖示裡找到。如果有安全更新等待著你點取執行,原本灰白色的 3 個點會以不同顏色呈現。

綠色表示發布快兩天的 Chrome 更新等著你執行,橘色表示更新已發布約 4 天之久,紅色表示更新至少一星期前就發布了。 一旦灰白色的 3 個點出現其他顏色時,請單擊圖示,然後在下拉視窗點取「說明」,然後在彈出視窗點取「關於 Google Chrome」選項。 一進入「關於 Google Chrome」頁面時,Chrome 瀏覽器將自動開始檢查更新,並顯示目前執行的瀏覽器版本。

接著請更新到 Chrome 81.0.4044.113 版或更新版。如果使用者不想自動更新,「關於 Google Chrome」頁面應該會提示使用者更新。使用者可能需要重新啟動瀏覽器以執行修補程式。不論如何,對一般使用者來說,不妨考慮啟用裝置的自動更新功能。如此一來,每當 Google 發布最新修補程式時,便不需要手動執行行更新,以免錯過安全更新時機,徒增不必要的安全風險。

(首圖來源:科技新報截圖)