Google緊急修補Chrome 0-day漏洞及Android 嚴重漏洞

 Google 於 2021 年 6 月 10 日緊急推出 Chrome 資安修補新版，修復 14 個資安漏洞，其中包括一個已遭駭侵者大規模濫用並發動攻擊的 0-day 漏洞；Google Chrome 用戶應立即更新瀏覽器至最新版本。

在 Google Chrome Release 中的最新更新說明中，Google 表示新推出的 91.0.4472.101 更新了一共 14 個資安漏洞，其中有 1 個嚴重等級、7 個高等級、2 個中等等級；而這些漏洞在 Google Chrome for Windows、macOS、Linux 内都存在。

其中屬於 0-day 漏洞的是 CVE-2021-30551 這個漏洞，存於 Chrome V8 引擎中的形別混淆錯誤；雖然 Google 文件中沒有透露駭侵者可以利用此漏洞造成何種錯誤，控制電腦到何種層級，但資安專家認為該漏洞和微軟先前修補的 0-day 漏洞 CVE-2021-33742，很可能都為同一家提供攻擊工具的商業公司所利用，且由駭侵團體用於攻擊某些東歐與中東國家。

Google 也表示該公司已知悉 CVE-2021-30551 遭駭侵團體濫用一事，並表示新版的 91.0.4472.101 即將在數日内正式釋出，供所有用戶下載更新；理論上用戶無需自行安裝，Chrome 會在啟動時自動更新，但用戶也可以手動進行更新。

Android 更新版本修復多達 90 個以上資安漏洞

另外，Google 近期在六月初發表的 Android 更新版本中，修復多達 90 個以上資安漏洞，其中包含一個可讓駭侵者遠端執行任意程式碼的嚴重漏洞；廣大 Android 裝置用戶應隨時注意手機原廠公布的作業系統更新訊息，並立即更新系統。

在這批得到修復的漏洞中，最危險的是編號 CVE-2021-0507 的漏洞，存於 Android OS 的系統組件中；駭侵者可利用特製的檔案傳輸來誘發錯誤，並且遠端執行任意程式碼。

另外還有一個屬於嚴重等級的漏洞 CVE-2021-0516，可以讓駭侵者用於提升執行權限；但 Google 沒有說明該漏洞的發生原因。

在這次針對 Android 發布的資安修補新版中，Google 也修復了多個駭侵者可用於提升執行權限的漏洞，包括發生在 Android Runtime 中的 CVE-2021-0511、發生在 Media Framework 中的 CVE-2021-0508、CVE-2021-0509、CVE-2021-0510、CVE-2021-0520、發生在 upstream kernel 的 CVE-2021-14305、CVE-2021-0512。

另有一個高等級 CVE-2021-0521 漏洞，可讓駭侵者在無需額外執行權限的情況下，竊取裝置内的資訊。

由於使用 Android 系統的裝置數量十分龐大，多數第三方廠商製造的手機，必須仰賴原廠推送作業系統更新，無法直接由 Google 推送，因此用戶應特別提高警覺，隨時注意原廠發送的更新訊息，並在可進行系統更新時立即執行，才能降低裝置遭駭侵者攻擊的風險。

本文轉載自TWCERT/CC。