Google Chrome 用戶拖延版本更新 恐成零時差攻擊的天堂

研究人員本周公佈研究結果顯示,大部份的Chrome用戶要花將近一個月才會安裝更新版本,成為零時差攻擊遽增的時代下一大安全隱憂。

研究人員本周公佈研究結果顯示,大部份的 Chrome 用戶要花將近一個月才會安裝更新版本,成為零時差攻擊遽增的時代下一大安全隱憂。

安全廠商 Menlo Security 一項研究發現,雖然 Google 在 2020 年 11 月 17 日釋出 Chrome 87,但是 84% 的用戶要花至少一個月才會更新。Chrome 88 也差不多,今年 1 月 19 日釋出後,68% 的用戶等了一個月才更新。

Menlo Security 安全研究總監 Vinay Pidathala 指出,這情形令人擔憂,因為 2020 年有 10 個瀏覽器零時差攻擊程式,其中 4 個針對 Chrome 而來。他指出,零時差攻擊目標可以是任何應用程式,但駭客會優先選擇有全球普及度的應用程式。而基於 Chrome 的市場獨佔性,安全公司認為未來會有更多零時差攻擊程式瞄準 Chrome 而來。

Pidathala 補充,2020 年 1 月開始,微軟 Edge 瀏覽器也開始採用 Chromium 為核心,因此為 Chrome 而設計的攻擊程式也將有更多的攻擊對象。

Menlo Security 研究顯示,從產業來看,金融、銀行、政府、建築與油氣業是最早更新的。以國別來看,北美和新加坡企業一有修補程式就立刻更新。

安全廠商 Lookout 資深經理 Hank Schless 表示,除了 Menlo 列出的漏洞外,1/4 的零時差漏洞是瞄準 Chrome for Android 而來。此外,由於每部 Android 裝置都內建 Chrome,不更新 Chrome 將使用戶曝露於更高風險下。

Lookout 的研究和 Menlo 結論相似,在 Android 漏洞通報後即使更新版 Chrome 在 Play Store 上架,也只有大約一半的 Android 用戶會更新 Chrome。不更新的用戶不是沒啟動自動更新,就是手機太老舊不支援更新版,Schless 說。

Schless 指出,IT 管理員應強制執行手機漏洞和修補管理政策,不允許手機上有漏洞的 App 存取企業資源。這麼一來用戶才會願意更新手機或平板 App,也才能將行動裝置納入到公司現有修補管理流程的一部份,以確保未來漏洞修補不會再有漏網之魚。

來源:SCMagazine

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2023 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416