吳明宜Google 上周四釋出 Chrome 107 for Windows 、 Mac 、 Linux 更新,以修補一個正遭到攻擊的零時差漏洞。
Google 安全公告指出,已接獲網路上有針對該漏洞攻擊的通報。安全廠商 Avast 首先發現這起事件,並於 10 月 25 日通知 Google 。
Google 並未說明細節,僅簡單說明編號 CVE-2022-3723 是類型混淆 (Type Confusion) 漏洞,影響 Chrome 的 V8 JavaScript 引擎。安全廠商 360 將這項漏洞風險值列為 8.8,屬高風險漏洞。 iOS 及 Android 版 Chrome 是否受影響則不得而知。
微軟 Edge 瀏覽器上周也釋出 107.0.1418.24 穩定版,但未提及這隻漏洞。
這也是 Google 今年修補的第 7 隻 Chrome 零時差漏洞,以及第二隻由 Avast 通的零時差漏洞。
上一隻 Avast 通報的 Chrome 零時差漏洞是 CVE-2022-2294,是 7 月出現於 Chrome 103,幾周後,Avast 指攻擊是來自以色列間諜軟體廠商 Candiru 的行動。
CVE-2022-2294 被用以發動精準攻擊,目標主要是中東人士,包括黎巴嫰記者、土耳其、葉門及巴勒斯坦用戶。攻擊者利用這隻 Chrome 漏洞,在這些受害電腦上植入名為 DevilsTongue 的竊密軟體,可能是想取得高價值的情報資訊。
值得一提的是,CVE-2022-2294 影響 Google Chrome WebRTC 元件,它也存在其他瀏覽器,包括 Edge 和 Safari 。微軟和蘋果都在那時及時修補了漏洞。
不論是哪個漏洞,用戶最好儘速更新 Chrome 瀏覽器以免遭駭。快到 Chrome 右上角的三點選單>「說明」>「關於 Google Chrome」。點入後,Chrome 即會自動更新到最新版。
來源:SecurityWeek