Google 修復 Chrome 多個嚴重資安漏洞

資安組織 Center of Internet Security 日前發表研究報告,指出 Google Chrome 有八個嚴重資安漏洞,最嚴重者可導致駭侵者用以遠端執行任意程式碼;Google 隨即發表這些漏洞的修補程式,並將在近期向用戶推送更新。

在這八個得到修補的資安洞中,有三個比較嚴重的資安漏洞。其中 CVE-2020-6450 和 CVE-2020-6451 的問題出在 Chrome 的 WebAudio 組件,用以處理 web 應用中的聲音合成;這兩個漏洞都屬於「use-after-free」錯誤,也就是試圖存取已釋放記憶體時發生的錯誤。駭侵者可以利用這個錯誤造成程式停止執行,甚至執行任意程式碼。

另一個嚴重錯誤出在 Chrome 的 Media 組件,用以在瀏覽器中呈現畫面與聲音;這個錯誤為記憶體緩衝區溢位錯誤,造成駭侵者的可乘之機,用以竄改資料或進行其他攻擊。

這些錯誤發生在 Google Chrome 80.0.3987.162 先前的各平台版本,包括 Windows、macOS、Linux 等;目前尚未傳出有駭侵者利用這批漏洞進行大規模駭侵攻擊。一般用戶請注意近日的 Chrome 更新訊息,以更新至最新版本,杜絕這批資安漏洞帶來的駭侵風險。

  • CVE編號:CVE-2020-6450、CVE-2020-6451、CVE-2020-6452 等
  • 影響版本:Google Chrome 80.0.3987.162 先前所有版本
  • 解決方案:更新至最新版本

相關連結

  1. Multiple Vulnerabilities in Google Chrome Could Allow for Arbitrary Code Execution
  2. Stable Channel Update for Desktop
  3. Google Squashes High-Severity Flaws in Chrome Browser

發表留言