新闻连结:
https://www.twcert.org.tw/tw/cp-104-4797-f55d6-1.html
Google 紧急推出 Chrome 资安修补新版,修复 14 个资安漏洞,其中包括一个已遭大规模滥用的 0-day 漏洞;Google Chrome 用户应立即更新浏览器至最新版本。
Google 于 2021 年 6 月 10 日紧急推出 Chrome 资安修补新版,修复 14 个资安漏洞,其中包括一个已遭骇侵者大规模滥用并发动攻击的 0-day 漏洞;Google Chrome 用户应立即更新浏览器至最新版本。
在 Google Chrome Release 中的最新更新说明中,Google 表示新推出的 91.0.4472.101 更新了一共 14 个资安漏洞,其中有 1 个严重等级、7 个高等级、2 个中等等级;而这些漏洞在 Google Chrome for Windows、macOS、Linux 内都存在。
其中属于 0-day 漏洞的是 CVE-2021-30551 这个漏洞,存于 Chrome V8 引擎中的形别混淆错误;虽然 Google 文件中没有透露骇侵者可以利用此漏洞造成何种错误,控制电脑到何种层级,但资安专家认为该漏洞和微软先前修补的 0-day 漏洞 CVE-2021-33742,很可能都为同一家提供攻击工具的商业公司所利用,且由骇侵团体用于攻击某些东欧与中东国家。
Google 也表示该公司已知悉 CVE-2021-30551 遭骇侵团体滥用一事,并表示新版的 91.0.4472.101 即将在数日内正式释出,供所有用户下载更新;理论上用户无需自行安装,Chrome 会在启动时自动更新,但用户也可以手动进行更新。
截至目前为止,Google 已修复 Chrome 多达 6 个 0-day 漏洞。由于 Google Chrome 是目前市占率最高的网页浏览器,使用人数甚多,强烈建议 Google Chrome 用户一定要提高警觉,经常检查 Chrome 版本是否为最新版,以避免遭到骇侵者利用 0-day 漏洞发动攻击。