您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

Google緊急修補Chrome零時差漏洞

Google 10/22釋出Chrome 78,隨後因發現已被利用的零時差漏洞,10/31又緊急釋出Chrome 78.0.3904.87修補程式,以供Windows、Mac與Linux用戶更新。此零時差漏洞是由卡巴斯基實驗室(Kaspersky Labs)所發現,編號CVE-2019-13720,是藏匿在音訊功能中之Use-After-Free漏洞,可讓駭客掌控受害者系統。卡巴斯基10/29向Google提報該漏洞,因研究人員已發現利用該漏洞的攻擊行動,卡巴斯基將該攻擊稱為WizardOpium行動,駭客先在一個韓文新聞網站進行水坑攻擊,於該網站上植入惡意JavaScript,再等待受害者上鉤。

該惡意JavaScript會檢查來訪者所使用之瀏覽器版本,若發現來訪者使用Chrome 65或之後版本,便會展開攻擊行動,藉由在受害者系統上分配與釋放記憶體,再輔以其它技術來取得系統讀寫權,最後在系統上植入惡意程式取得所有控制權。為能持續控制受害系統,駭客還會在微軟Windows工作排程器(Task Scheduler)上安裝任務。不過考量用戶可能來不及更新,為降低用戶受攻擊風險,Google與卡巴斯基均保留一些漏洞細節沒有公開。另外,Chrome 78.0.3904.87也修補另一個由banananapenguin於10/12所提報的CVE-2019-13721漏洞,與CVE-2019-13720同樣屬於高風險漏洞,但尚未遭到駭客利用。

Reference

資料來源:
https://www.kaspersky.com/blog/google-chrome-zeroday-wizardopium/29126/
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html
https://www.ithome.com.tw/news/133988
技術服務中心整理
 

Publish Date
2019/11/15 0:00:00