Google 近日即將推出的 Google Chrome 版本 90,修復多個資安漏洞,其中包括數個危險程度列為高危險等級的漏洞,這些漏洞有可能讓駭侵者可以遠端執行任意程式碼;用戶應立即更新所有 Chromium 瀏覽器。
在這些漏洞中,最嚴重的是 CVE-2021-21227 這個漏洞;發現這個漏洞的是資安廠商 Singular Security Lab 旗下的研究員。據 Google 的更新說明文件指出,CVE-2021-21227 是存於 Google Chrome V8 引擎中的一個錯誤,由於未能對資料進行充分檢查,導致駭侵者有可能透過此漏洞,遠端執行任意程式碼。
不過研究人員也指出,這個漏洞必須和其他的資安漏洞合併使用,否則就無法跳過 Chrome 的記憶體沙盒,也無法觸及任何在沙盒之外執行的應用程式與系統資源;不過如果該漏洞利用的程式本身有較高執行權限,或是用戶自行關閉沙盒保護機制,那就可以直接存取系統發動 RCE 攻擊。
Google 這次推出的新版 Google Chorme 90.0.4430.93,也修復了多個其他漏洞,包括 CVE-2021-21232、CVE-2021-21233、CVE-2021-21228、CVE-2021-21229、CVE-2021-21230、CVE-2021-21231 等等;對應的作業系統版本包括 Windows、Mac、Linux 等主流作業系統。
此外,市場上有多種使用與 Google Chrome 同一開源程式碼基礎 Chromium 的多種瀏覽器,如 Microsoft Edge、Brave、Vivaldi、Sidekick 等,也應一併更新。請用戶注意近期各瀏覽器的更新訊息,一旦有新版可供下載,請立即安裝,以修補這些已知資安漏洞,降低遭到駭侵攻擊的風險。
- CVE編號:CVE-2021-21227 等
- 影響產品/版本: Google Chrome(Chromium)版本 90 之前
- 解決方案:更新到 Google Chrome(Chromium)版本 90 或更新版本
本文轉載自TWCERT/CC。