Google公佈已遭攻擊的Chrome零時差漏洞 恐遭駭客入侵執行惡意程式

一家韓語新聞網站被駭植入惡意程式碼發動水坑攻擊,再經由有漏洞的Chrome下載到訪客的電腦上。

Google周末公佈桌機版Chrome瀏覽器一個重大漏洞,並警告已經被攻擊者用來劫持電腦或執行惡意程式碼。

編號CVE-2019-13720 的漏洞是由卡巴斯基研究人員Anton Ivanov和Alexey Kulaev發現,存在於Chrome的音訊元件中。這項漏洞是一種「釋放後使用」(use-after-free)漏洞,這會發生在一個App試圖存取釋放後分派給其他App的記憶體,造成記憶體毁損。這通常會導致某個程式當掉,但也可以用來竄改記憶體內資料,讓沒有權限或權限不足的使用者在受害裝置上進行權限升級攻擊。在本例中,攻擊者只要引誘使用者存取惡意網站,即可升高Chrome瀏覽器的權限,繞過沙箱防護,在受害系統執行惡意程式碼等意外情形。

一家韓語新聞網站被駭植入惡意程式碼發動水坑攻擊,再經由有漏洞的Chrome下載到訪客的電腦上,研究人員稱之為「Operation WizardOpium」。不過研究人員無法肯定這隻惡意程式背後的駭客組織為何,但是和他們之前發現的一個北韓政府資助的駭客組織Lazarus所撰寫的惡意程式碼頗為相似。

Google已經發佈Windows、Mac與Linux版Chrome 78.0.3904.87,將在未來幾周內逐步於全球釋出,呼籲用戶升級。等不及的用戶可以循「Help 」>「關於 Google Chrome」手動下載。

除了更新到最新版Chrome外,Google也建議使用者不論哪種軟體最好都能將權限設定為非系統管理員,以降低任何零時差漏洞攻擊的災情。

這也是今年三月以來,Google第二次修補Chrome零時差漏洞。當時Chrome 72.0.3626.121 版中的零時差漏洞CVE-2019-5786 被用以結合Windows 7的 CVE-2019-0859發動攻擊。

來源:Threat PostThe Hacker News

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416