按 Enter 到主內容區
:::

TWCERT-電子報

:::
發布日期:
字型大小:

Google更新Chrome修補37漏洞

CVE編號 CVE-2017-15407 CVE-2017-15408 CVE-2017-15409 CVE-2017-15410 CVE-2017-15411 CVE-2017-15412 CVE-2017-15413 CVE-2017-15415 CVE-2017-15416 CVE-2017-15417 CVE-2017-15418 CVE-2017-15419 CVE-2017-15420 CVE-2017-15422 CVE-2017-15423 CVE-2017-15424 CVE-2017-15425 CVE-2017-15426 CVE-2017-15427
影響產品 Chrome 63.0.3239.84之前版本(for Windows、Mac、Linux)
解決辦法 Chrome使用者請設定啟用更新,或逕至官網下載。
張貼日 2017-12-12
上稿單位 TWCERT/CC

●概述:
Google本月修補Chrome大量弱點,解決前版受漏洞造成之風險,諸如巨量溢位、使用釋放後記憶體、超限讀寫、URL偽造等。駭客可藉此取得遠端系統控制權,對各類元件模組進行多種攻擊模式,Google提供修補版本供下載,惟基於資安顧慮,漏洞細節均未公開。
●編註:
(1)記憶體存取類漏洞
ICU有整數溢位缺陷;PDFium出現大量buffer overflow;Out of bounds write/read發生在 QUIC、Skia、Blink;另Use after free則存在於PDFium、libXML。
(2)數據外洩類漏洞
IPC呼叫執行時恐產生指標資訊洩漏;Skia恐跨來源資料洩漏;Blink則暴露跨來源轉址URL。
(3)驗證機制類錯誤
Skia運用數值未經初始化;WebAssembly發生類型混淆;至於Omnibox則缺乏完整JavaScript阻擋機制及多個URL spoofing弱點。

相關連結

  1. https://chromereleases.googleblog.com/2017/12/stable-channel-update-for-desktop.html
  2. https://www.hkcert.org/my_url/en/alert/17120701
  3. https://www.us-cert.gov/ncas/current-activity/2017/12/06/Google-Releases-Security-Update-Chrome
  4. https://cdn.images.express.co.uk/img/dynamic/59/590x/Google-Chrome-Hack-805729.jpg
回頁首