二月 2021
1234567
891011121314
15161718192021
22232425262728

彙整

【資安警訊】Google修補已遭開採的Chrome零時差漏洞

(轉知) Google修補已遭開採的Chrome零時差漏洞

外界推測Google於Chrome 88.0.4324.150修補的漏洞CVE-2021-21148,與近日北韓駭客鎖定資安社群的攻擊行動有關。

Google在周四(2/4)釋出Chrome 88.0.4324.150,以修補已遭到駭客開採的CVE-2021-21148零時差漏洞。

CVE-2021-21148為一存在於開源JavaScript引擎V8中的堆積緩衝區溢位漏洞,是由資安研究人員Mattias Buelens在1月24日所提報,Google僅說坊間已出現針對該漏洞的攻擊程式,並未描述漏洞細節或相關攻擊行動,但外界揣測它與近日北韓駭客鎖定資安社群的攻擊行動有關。

包括Google與微軟,都曾揭露這起針對資安研究人員發動的網路攻擊行動。駭客於Twitter上建立多個帳號,也打造了資安部落格,藉由高品質的資安內容來與資安研究人員建立關係,然而,由駭客寄來的檔案卻含有惡意程式,而造訪該資安部落格的研究人員也會被植入惡意程式。

根據Google的調查,被惡意程式感染的系統,都是採用最新的Windows作業系統與Chrome瀏覽器,當時Google應也懷疑駭客可能是開採了Chrome的零時差漏洞,進而鼓勵任何知道Chrome安全漏洞的研究人員向Google通報。

而微軟則說,確定有研究人員只是透過Chrome造訪駭客所掌控的部落格,就感染了惡意程式,駭客也許是利用了Chrome的零時差漏洞或是漏洞修補空窗期來展開攻擊。

Chrome 88.0.4324.150支援Windows、macOS及Linux作業系統,將在未來幾天自動部署至用戶端。

資料來源: https://www.ithome.com.tw/news/142645