Google Chrome新版本可防止Windows CryptoAPI验证漏洞攻击
文/林妍溱 | 2020-01-17发表
Google 周四释出Chrome 79.0.3945.130,以减缓和Windows密码元件漏洞造成的网钓攻击
风险,以及修补另外三项可让骇客透过Chrome骇入电脑的漏洞。
Google Chrome新版本解决的第一项问题,和Windows CryptoAPI的CVE-2020-0601有关。
它影响Windows中名为CryptoAPI 处理的加密元件,后者作用在让开发人员为其软件加入
数位签章以防被窜改。该漏洞可让骇客发送恶意程式码,以假凭证通过签章验证以冒充可
信赖方的内容,包括档案、电子邮件或网站,对终端用户发送中间人(
man-in-the-middle,MiTM)或网钓攻击。该漏洞被列为“重要”风险(但非最高的“重
大”),但因是由过去恶名昭彰的美国国安局(NSA)通报微软而受人瞩目。微软已经在
周二的Patch Tuesday中予以修补。
Chrome版79.0.3945.130 增加在Chrome用户连入网站前,验证网站凭证完整性的能力。
Google开发人员Ryan Sleevi指出,新版Chrome尚不完美,但在用户安装Windows修补程式
前已足以提供保护。BleepingComputer测试显示,在未安装修补程式的Windows 10 电脑
上,若先升级到Chrome 79.0.3945.130,用户再连上研究人员设立的假网站时,Chrome就
会警告连线不安全,攻击者可能从网站上试图窃取用户资讯。
这项功能来得正是时候,因为一名安全研究人员已经在漏洞及修补程式发布不到24小时内
,公开概念验证攻击,利用假的TLS凭证冒充NSA及GitHub网站,并骗过数个浏览器,包括
Chrome、IE的检查而放行用户造访。
除了CryptoAPI的相关验证不足问题外,新版Chrome 79还另外修补了三项漏洞,其中
CVE-2020-6378及CVE-2020-6379可让骇客诱骗用户连上恶意网站,触发UAF(
Use-After-Free)错误而执行恶意程式码。CVE-2020-63-80则出在外挂程式处理元件的验
证不足,用户若不慎下载恶意外挂,将可能遭骇入系统。其中CVE-2020-6378属风险等级
最高的“重大”漏洞,其余则为“高度”风险。
安全公司Kudelski Security指出,除了Firefox,Chromium-based的浏览器和旧IE都受影
响。微软方面没提出官方说明。但安全部落Swift on Security指称,微软昨日公开释出
的新版Chromium-based Edge也能提供防护。
https://www.ithome.com.tw/news/135418
所以FF没这个问题?还是FF早就已经修补这个漏洞了?