Google 公佈已遭攻擊的 Chrome 零時差漏洞 恐遭駭客入侵執行惡意程式

Google 周末公佈桌機版 Chrome 瀏覽器一個重大漏洞，並警告已經被攻擊者用來劫持電腦或執行惡意程式碼。

編號 CVE-2019-13720 的漏洞是由卡巴斯基研究人員 Anton Ivanov 和 Alexey Kulaev 發現，存在於 Chrome 的音訊元件中。這項漏洞是一種「釋放後使用」（use-after-free）漏洞，這會發生在一個 App 試圖存取釋放後分派給其他 App 的記憶體，造成記憶體毁損。這通常會導致某個程式當掉，但也可以用來竄改記憶體內資料，讓沒有權限或權限不足的使用者在受害裝置上進行權限升級攻擊。在本例中，攻擊者只要引誘使用者存取惡意網站，即可升高 Chrome 瀏覽器的權限，繞過沙箱防護，在受害系統執行惡意程式碼等意外情形。

一家韓語新聞網站被駭植入惡意程式碼發動水坑攻擊，再經由有漏洞的 Chrome 下載到訪客的電腦上，研究人員稱之為「Operation WizardOpium」。不過研究人員無法肯定這隻惡意程式背後的駭客組織為何，但是和他們之前發現的一個北韓政府資助的駭客組織 Lazarus 所撰寫的惡意程式碼頗為相似。

Google 已經發佈 Windows、Mac 與 Linux 版 Chrome 78.0.3904.87，將在未來幾周內逐步於全球釋出，呼籲用戶升級。等不及的用戶可以循「Help」>「關於 Google Chrome」手動下載。

除了更新到最新版 Chrome 外，Google 也建議使用者不論哪種軟體最好都能將權限設定為非系統管理員，以降低任何零時差漏洞攻擊的災情。

這也是今年三月以來，Google 第二次修補 Chrome 零時差漏洞。當時 Chrome 72.0.3626.121 版中的零時差漏洞 CVE-2019-5786 被用以結合 Windows 7 的 CVE-2019-0859 發動攻擊。

來源：Threat Post，The Hacker News