Google Chrome 瀏覽器近期被發現存在零時差漏洞 CVE-2023-3079,有重大安全風險,Google 在今日宣布針對 Chrome 釋出緊急安全更新,建議用戶及時更新瀏覽器版本,以降低任何潛在風險。
(前情提要:CertiK爆 : 微軟 Office 有零時差漏洞!可駭入 Metamask、建議改用冷錢包)
(背景補充:Google研究員:北韓駭客透過「Chrome零時差漏洞」攻擊加密貨幣、媒體等機構)
科技巨擘 Google 在 6 日發布公告,宣布針對 Chrome 釋出緊急安全更新,桌面應用程式已更新至 Mac 和 Linux 的 114.0.5735.106 版本、 Windows 的 114.0.5735.110 版本,這些版本將在未來幾天 / 幾周內釋出。
基於 Chromium 架構的隱私瀏覽器 Brave 隨後也發公告表示,Brave 的桌面及 Android 版本已更新至 v1.52.122 版本,新版本涵蓋針對 Chromium 漏洞的修復程序,如果 Brave 沒有自動更新,用戶需要手動進行更新。
Today's browser update (v1.52.122) for desktop and Android contains a fix for a Chromium vulnerability found to be exploited in the wild.
You may have received the automatic Brave update already. If not, you can update by visiting 'About Brave' from the browser's ☰ menu.
— Brave (@brave) June 6, 2023
CVE-2023-3079 漏洞簡介
Chrome 的此次更新涵蓋 2 個安全修復程式,但實際上僅其中一個安全修復有細節說明,即 CVE-2023-3079,根據美國國家標準暨技術研究院(NIST)的國家弱點資料庫說明,此 CVE-2023-3079 漏洞可能讓遠端攻擊者藉由引導用戶前往一個精心製作的 HTML 網頁,來引發記憶體毁損,安全嚴重程度為高。
富比士報導,CVE-2023-3079 是 V8 JavaScript 引擎中一個的類型混淆漏洞,被 Google 威脅分析小組發現,且是 Chrome 在 2023 年發現的第 3 個零時差漏洞,Action1 漏洞和威脅研究副總裁 Mike Walters 表示,該漏洞具有重大風險:
類型混淆漏洞構成巨大風險,使攻擊者能利用內存對象處理的弱點,在目標機器上執行任意代碼。
Mike Walters 解釋,這是因為 V8 引擎中的對象是「基於底層數據類型分配的類型」,但由於類型檢查機制的實施存在缺陷,惡意參與者可欺騙 JavaScript 引擎,將變量視為與實際不同的類型,最終結果是,使惡意參與者有可能執行任意代碼。
因此,Mike Walters 強烈建議用戶及時更新瀏覽器版本,以降低任何潛在風險。
Chrome 被發現有 32 款惡意擴充功能
此前,資安業者 Avast 剛撰文警告,在 Chrome 應用商店平台上,Avast 團隊發現了 32 款遭植入惡意代碼的擴充功能,總安裝量達 7,500 萬次,提醒用戶應小心謹慎,否則恐有個資被竊,資產被盜的風險。
📍相關報導📍
起因零時差漏洞,以太坊 2.0 客戶端 Teku 籲用戶緊急安裝更新版本