歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
Chrome、Edge、Firefox 各自修復可造成系統遭挾持的資安漏洞
2021 / 01 / 20
編輯部
多個主流網頁瀏覽器 Google Chrome、Microsoft Edge 和 Mozilla Firefox,近期各自修復可導致系統遭挾持的嚴重資安漏洞;這三種瀏覽器的廣大用戶,應立即更新至最新版本,以避免受此漏洞影響。
在 Mozilla Firefox 方面,修復的漏洞編號為 CVE-2020-16044。這個漏洞屬於「使用已釋放記憶體」(use-after-free)錯誤,發生在 Firefox 處理 cookie 的方式;駭侵者可以透過發送特製的 COOKIE ECHO chunk 以誘發這個錯誤,在執行 Mozilla Firefox 的電腦、手機或平板上發動攻擊,遠端執行任意程式碼,並且可取得裝置的控制權。
這個漏洞的 CVSS 危險程度評分高達 7.7 分,屬於高度危險(High)等級;受影響版本為現行版本 Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本。
而在以 Chromium 為基礎的 Google Chrome 與 Microsoft Edge 方面,則是修復了一個越界寫入(out-of-bounds write)的錯誤;這個錯誤發生在 Google 開發的開源 JavaScript 與 WebAssembly 引擎,亦可導致駭侵者遠端執行任意程式碼,並且奪取系統控制權。
Google Chrome 與 Microsoft Edge 的這個漏洞,編號為 CVE-2020-15995,其 CVSS 危險程度評分高達 8.8 分,危險程度等級屬於「高度危險」,影響的版本分別為 Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本,以及 Microsoft Edge 87.0.664.75 各平台之前所有版本。
CVE編號:CVE-2020-16044、CVE-2020-15995
影響產品:
Mozilla Firefox:Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本;
Google Chrome:Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本;
Microsoft Edge:Microsoft Edge 87.0.664.75 各平台之前所有版本。
解決方案:升級到各瀏覽器現行最新版本。
本文轉載自TWCERT/CC。
漏洞情資
CVE-2020-16044
CVE-2020-15995
COOKIE ECHO chunk
Microsoft Edge 87.0.664.75
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
2024.12.19
數位轉型與資安未來-打造企業級基礎設施、網路安全與API管理
2024.12.20
『Silverfort Essential︰統一身份保護平台套件』 網路研討會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
新型釣魚攻擊手法:利用損壞的 Word 文件躲避資安檢測
多家依賴 CDN 業者提供 WAF 服務的企業用戶因設定不當暴露於資安威脅
美國CISA示警Zyxel等品牌之網路設備遭受攻擊中
Palo Alto Networks 預測 2025 年資安趨勢:平台整合與AI防禦成關鍵
大規模採用中國光學雷達設備 恐對國家安全構成威脅
資安人科技網
文章推薦
Windows新零時差漏洞曝光:僅瀏覽惡意檔案即可竊取NTLM憑證
趨勢科技推出全新AI防詐達人 阻絕AI世代的詐騙危機
2024 CGGC網路守護者挑戰賽,「海狗再打十年」隊獲得冠軍