吳明宜Google Chrome 零時差 V8 漏洞危險指數升高!Edge、Brave、Vivaldi 皆受影響
Google周五緊急發佈新版Chrome 88.0.4324.150 ,修補一個已遭到積極開採的零時差漏洞,同為Chromium核心的瀏覽器,包括Microsoft Edge、Brave、Vivaldi用戶皆需小心。
Google 周五緊急發佈新版 Chrome 88.0.4324.150 ,修補一個已遭到積極開採的零時差漏洞,同為 Chromium 核心的瀏覽器,包括 Microsoft Edge、Brave、Vivaldi 用戶皆需小心。
Google 表示,新版 Chrome 預計未來幾天到幾周將陸續發佈給 Windows、macOS 及 Linux 作業系統用戶。而在大多數 Chrome 版本獲得更新之前,Google 並不公佈詳細內容。此外,為防該漏洞也可能存在其他專案共享的第三方函式庫,因此 Google 也暫時關閉該函式庫的存取。
新漏洞編號為 CVE-2021-21148,Google 是在外部安全研究人員 Mattias Buelens 於 1 月底通報而得知。本漏洞影響 Chrome 處理 JavaScript V8 引擎,V8 負責把網頁一些互動元件如按鍵的 JavaScript 程式碼,翻譯成低階機器程式碼,使電腦處理器得以理解。一旦漏洞遭成功開採,可能造成堆積緩衝溢位,使硬體的記憶體執行惡意活動,像是安裝惡意程式或是修改資料。
Vivaldi 安全專家 Tarquin Wilton-Jones 指出,V8 漏洞會影響所有 Chromium 瀏覽器,而不僅 Chrome。這意謂著 Microsoft Edge、Brave、Vivaldi、Opera 和其他 Chromium-based 瀏覽器都必須立即更新。Firefox 則暫時不受影響。
Vivaldi 說已經釋出了桌機版 Vivaldi 瀏覽器的修補程式,其中包含 Chromium 更新,也正在測試 Android 版 Vivaldi 的更新版本。微軟也很快就釋出 Edge 88.0.705.63 穩定版。