Chrome、Edge、Firefox 各自修復可造成系統遭挾持的資安漏洞

2021 / 01 / 20

編輯部

多個主流網頁瀏覽器 Google Chrome、Microsoft Edge 和 Mozilla Firefox，近期各自修復可導致系統遭挾持的嚴重資安漏洞；這三種瀏覽器的廣大用戶，應立即更新至最新版本，以避免受此漏洞影響。

在 Mozilla Firefox 方面，修復的漏洞編號為 CVE-2020-16044。這個漏洞屬於「使用已釋放記憶體」（use-after-free）錯誤，發生在 Firefox 處理 cookie 的方式；駭侵者可以透過發送特製的 COOKIE ECHO chunk 以誘發這個錯誤，在執行 Mozilla Firefox 的電腦、手機或平板上發動攻擊，遠端執行任意程式碼，並且可取得裝置的控制權。

這個漏洞的 CVSS 危險程度評分高達 7.7 分，屬於高度危險（High）等級；受影響版本為現行版本 Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本。

而在以 Chromium 為基礎的 Google Chrome 與 Microsoft Edge 方面，則是修復了一個越界寫入（out-of-bounds write）的錯誤；這個錯誤發生在 Google 開發的開源 JavaScript 與 WebAssembly 引擎，亦可導致駭侵者遠端執行任意程式碼，並且奪取系統控制權。

Google Chrome 與 Microsoft Edge 的這個漏洞，編號為 CVE-2020-15995，其 CVSS 危險程度評分高達 8.8 分，危險程度等級屬於「高度危險」，影響的版本分別為 Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本，以及 Microsoft Edge 87.0.664.75 各平台之前所有版本。

CVE編號：CVE-2020-16044、CVE-2020-15995

影響產品：

Mozilla Firefox：Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本；
Google Chrome：Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本；
Microsoft Edge：Microsoft Edge 87.0.664.75 各平台之前所有版本。

解決方案：升級到各瀏覽器現行最新版本。

本文轉載自TWCERT/CC。

漏洞情資 CVE-2020-16044 CVE-2020-15995 COOKIE ECHO chunk Microsoft Edge 87.0.664.75