按 Enter 到主內容區
:::

TWCERT-電子報

:::

Google Chrome 被發現含有可被遠端執行程式碼的一系列漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-02-10
  • 點閱次數:260
TWCERT/CC Google Chrome 被發現含有可被遠端執行程式碼的一系列漏洞

CVE編號

CVE-2019-13734, CVE-2019-13750, CVE-2019-13751, CVE-2019-13752,CVE-2019-13753

內文

資安專家近期發現五個 Google Chrome 的資安漏洞,可能遭駭侵者利用,進而在受害系統上遠端執行任意程式碼。

這批漏洞被資安研究人員稱為「麥哲倫 2.0」(Magellan 2.0),主要存在於 Google Chrome 瀏覽器的 SQLite 資料庫管理系統中。

由於 SQLite 資料庫體積小、運作速度快,因此有很多瀏覽器、手機或作業系統都廣泛採用 SQLite。

據 Mitre.org CVE 的報告指出,這五個 SQLite 漏洞,可以透過一個特製的 HTML 加以利用;駭客只要布署含有惡意程式碼的 HTML 檔讓瀏覽器讀取,即可透過這些漏洞遠端執行任意程式碼,並且毫無障礙地存取受害系統的機敏資訊。

據資安專家指出,任何採用 SQLite 的系統,如果沒有更新到最新版本,都可能含有這五個在 Google Chrome 中被發現的漏洞。

這一系列漏洞在 2019 年 11 月 16 日提報給 Google,Google 隨即於 2019 年 12 月 11 日推出修補過後的新版,版本號碼為 79.0.3945.79;任何早於這個版本的 Google Chrome 如果也啟用了內建的 SQLite 資料庫,就存有因為此一系列漏洞而遭攻擊的風險。

資安專家也指出,目前並未觀察到利用此一系列漏洞的大規模攻擊行動。

據 NVD 資料庫的評估,CVE-2019-13751 的嚴重程度為 6.5 分,危險評級為中度。

所有使用 Google Chrome 的用戶,應立即更新到最新版本,以修補這一系列漏洞。
 

影響產品

Google Chrome 79.0.3945.79 之前版本

解決辦法

更新至 Google Chrome 79.0.3945.79 起的新版
回頁首