Google Chrome用戶拖延版本更新 恐成零時差攻擊的天堂

研究人員本周公佈研究結果顯示，大部份的Chrome用戶要花將近一個月才會安裝更新版本，成為零時差攻擊遽增的時代下一大安全隱憂。

安全廠商Menlo Security一項研究發現，雖然Google在2020年11月17日釋出Chrome 87，但是84%的用戶要花至少一個月才會更新。Chrome 88也差不多，今年1月19日釋出後，68%的用戶等了一個月才更新。

Menlo Security安全研究總監Vinay Pidathala指出，這情形令人擔憂，因為2020年有10個瀏覽器零時差攻擊程式，其中4個針對Chrome而來。他指出，零時差攻擊目標可以是任何應用程式，但駭客會優先選擇有全球普及度的應用程式。而基於Chrome的市場獨佔性，安全公司認為未來會有更多零時差攻擊程式瞄準Chrome而來。

Pidathala補充，2020年1月開始，微軟Edge瀏覽器也開始採用Chromium為核心，因此為Chrome而設計的攻擊程式也將有更多的攻擊對象。

Menlo Security研究顯示，從產業來看，金融、銀行、政府、建築與油氣業是最早更新的。以國別來看，北美和新加坡企業一有修補程式就立刻更新。

安全廠商Lookout資深經理Hank Schless表示，除了Menlo列出的漏洞外，1/4的零時差漏洞是瞄準Chrome for Android而來。此外，由於每部Android裝置都內建Chrome，不更新Chrome將使用戶曝露於更高風險下。

Lookout的研究和Menlo結論相似，在Android漏洞通報後即使更新版Chrome在Play Store上架，也只有大約一半的Android用戶會更新Chrome。不更新的用戶不是沒啟動自動更新，就是手機太老舊不支援更新版，Schless說。

Schless指出，IT管理員應強制執行手機漏洞和修補管理政策，不允許手機上有漏洞的App存取企業資源。這麼一來用戶才會願意更新手機或平板App，也才能將行動裝置納入到公司現有修補管理流程的一部份，以確保未來漏洞修補不會再有漏網之魚。

來源：SCMagazine