【資安警訊】Google修補已遭開採的Chrome零時差漏洞

(轉知) Google修補已遭開採的Chrome零時差漏洞

外界推測Google於Chrome 88.0.4324.150修補的漏洞CVE-2021-21148，與近日北韓駭客鎖定資安社群的攻擊行動有關。

Google在周四（2/4）釋出Chrome 88.0.4324.150，以修補已遭到駭客開採的CVE-2021-21148零時差漏洞。

CVE-2021-21148為一存在於開源JavaScript引擎V8中的堆積緩衝區溢位漏洞，是由資安研究人員Mattias Buelens在1月24日所提報，Google僅說坊間已出現針對該漏洞的攻擊程式，並未描述漏洞細節或相關攻擊行動，但外界揣測它與近日北韓駭客鎖定資安社群的攻擊行動有關。

包括Google與微軟，都曾揭露這起針對資安研究人員發動的網路攻擊行動。駭客於Twitter上建立多個帳號，也打造了資安部落格，藉由高品質的資安內容來與資安研究人員建立關係，然而，由駭客寄來的檔案卻含有惡意程式，而造訪該資安部落格的研究人員也會被植入惡意程式。

根據Google的調查，被惡意程式感染的系統，都是採用最新的Windows作業系統與Chrome瀏覽器，當時Google應也懷疑駭客可能是開採了Chrome的零時差漏洞，進而鼓勵任何知道Chrome安全漏洞的研究人員向Google通報。

而微軟則說，確定有研究人員只是透過Chrome造訪駭客所掌控的部落格，就感染了惡意程式，駭客也許是利用了Chrome的零時差漏洞或是漏洞修補空窗期來展開攻擊。

Chrome 88.0.4324.150支援Windows、macOS及Linux作業系統，將在未來幾天自動部署至用戶端。

資料來源: https://www.ithome.com.tw/news/142645