歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
Chrome、Edge、Firefox 各自修復可造成系統遭挾持的資安漏洞
2021 / 01 / 20
編輯部
多個主流網頁瀏覽器 Google Chrome、Microsoft Edge 和 Mozilla Firefox,近期各自修復可導致系統遭挾持的嚴重資安漏洞;這三種瀏覽器的廣大用戶,應立即更新至最新版本,以避免受此漏洞影響。
在 Mozilla Firefox 方面,修復的漏洞編號為 CVE-2020-16044。這個漏洞屬於「使用已釋放記憶體」(use-after-free)錯誤,發生在 Firefox 處理 cookie 的方式;駭侵者可以透過發送特製的 COOKIE ECHO chunk 以誘發這個錯誤,在執行 Mozilla Firefox 的電腦、手機或平板上發動攻擊,遠端執行任意程式碼,並且可取得裝置的控制權。
這個漏洞的 CVSS 危險程度評分高達 7.7 分,屬於高度危險(High)等級;受影響版本為現行版本 Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本。
而在以 Chromium 為基礎的 Google Chrome 與 Microsoft Edge 方面,則是修復了一個越界寫入(out-of-bounds write)的錯誤;這個錯誤發生在 Google 開發的開源 JavaScript 與 WebAssembly 引擎,亦可導致駭侵者遠端執行任意程式碼,並且奪取系統控制權。
Google Chrome 與 Microsoft Edge 的這個漏洞,編號為 CVE-2020-15995,其 CVSS 危險程度評分高達 8.8 分,危險程度等級屬於「高度危險」,影響的版本分別為 Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本,以及 Microsoft Edge 87.0.664.75 各平台之前所有版本。
CVE編號:CVE-2020-16044、CVE-2020-15995
影響產品:
Mozilla Firefox:Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本;
Google Chrome:Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本;
Microsoft Edge:Microsoft Edge 87.0.664.75 各平台之前所有版本。
解決方案:升級到各瀏覽器現行最新版本。
本文轉載自TWCERT/CC。
漏洞情資
CVE-2020-16044
CVE-2020-15995
COOKIE ECHO chunk
Microsoft Edge 87.0.664.75
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
看更多活動
大家都在看
中國駭客組織鎖定 Linux 系統,部署新型後門程式
美國CISA 示警 Array Networks 閘道器嚴重漏洞遭積極利用
中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
QNAP 修補多項重大漏洞,NAS與路由器軟體皆受影響
Matrix 殭屍網路肆虐全球,藉 IoT 設備發動大規模 DDoS 攻擊
資安人科技網
文章推薦
2024台灣資安通報應變年會:資安長高峰論壇 聚焦威脅應變與跨域協作
用戶盡速更新!研華工業級 Wi-Fi 基地台爆出逾二十個資安漏洞
玉山安永科技論壇 AI智慧變革 引領企業轉型、留意治理風險