Google Chrome有重大遠端程式碼執行零時差漏洞,且已有攻擊情形發生,呼籲使用者儘速更新到最新版

Google Chrome爆重大遠端程式碼漏洞,已有攻擊程式流傳

Google在3月6日發佈安全公告,提醒大眾Google Chrome有重大遠端程式碼執行(Remote Code Execution,RCE)零時差漏洞,且已有攻擊情形發生,呼籲使用者儘速更新到最新版。

編號CVE-2019-5786的漏洞發生在Chrome的FileReader,它是存在於大部份主要瀏覽器的Web API,讓瀏覽器可以讀取儲存於用戶電腦的檔案內容。最新發現的漏洞屬於釋放後使用(use-after-free)漏洞,安全公司Zerodium執行長Chaouki Bekrar指出,該漏洞可讓惡意程式碼突破Chrome記憶體沙箱的限制,而在底層作業系統執行指令。他並預期2019年將會有更重大的零時差漏洞出現,Android、iOS、Windows、Office、虛擬層都有可能出現。

但Google本身並未公佈漏洞細節,表示要等到大部份用戶都完成更新才會公佈。此外,如果其他專案使用的第三方函式庫存在這項漏洞且尚未修補,Google也會暫緩公佈資訊。

Google已於3月初逐步透過穩定版頻道(stable channel)釋出已修補漏洞的Windows、Mac、及Linux版本Chrome 72.0.3626.121,預計最長需要數周時間完成部署。

Chrome攻擊程式也涉及Windows零時差漏洞

Google甫於日前揭露了有一攻擊程式鎖定了Chrome的零時差攻擊漏洞,3月7日進一步說明該攻擊程式其實是同時開採了Chrome與Windows的零時差漏洞。

Google威脅分析團隊工程師Clement Lecigne說明,其實他們在2月27日便提報了兩個零時差漏洞,其中一個是現身於Chrome的CVE-2019-5786,Google已修補該漏洞並於3月1日更新了Chrome平台,另一個漏洞則存在於Windows平台,此一Windows漏洞藏匿在Windows win32k.sys的核心驅動程式,屬於本地權限擴張漏洞,可用來執行沙箱逃逸,但尚未被修補。

Lecigne指出,他們已將該漏洞提報給微軟,有鑑於它是個嚴重的Windows漏洞,而且已被開採以執行目標式攻擊,因而決定對外公布。

此一微軟正在修補的Windows漏洞可用來擴張權限,也能結合其它的瀏覽器漏洞以規避安全沙箱。

Google威脅分析團隊認為,該漏洞應該只有在Windows 7上才能被利用,因為其它較新的Windows版本皆具備緩解措施,且迄今只發現32位元的Windows 7遭到開採。建議Windows 7用戶可考慮升級到Windows 10,或是當微軟釋出修補程式時儘速更新。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏