按 Enter 到主內容區
:::

TWCERT-電子報

:::

Chrome、Edge、Firefox 各自修復可造成系統遭挾持的資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-01-18
  • 點閱次數:1211
Chrome、Edge、Firefox 各自修復可造成系統遭挾持的資安漏洞 TWCERT/CC

CVE編號

CVE-2020-16044、CVE-2020-15995

內文

多個主流網頁瀏覽器 Chrome、Edge 和 Firefox 近期各自修復可導致系統遭挾持的嚴重資安漏洞,用戶應立即更新至最新版本,以避免受此漏洞影響。

多個主流網頁瀏覽器 Google Chrome、Microsoft Edge 和 Mozilla Firefox,近期各自修復可導致系統遭挾持的嚴重資安漏洞;這三種瀏覽器的廣大用戶,應立即更新至最新版本,以避免受此漏洞影響。

在 Mozilla Firefox 方面,修復的漏洞編號為 CVE-2020-16044。這個漏洞屬於「使用已釋放記憶體」(use-after-free)錯誤,發生在 Firefox 處理 cookie 的方式;駭侵者可以透過發送特製的 COOKIE ECHO chunk 以誘發這個錯誤,在執行 Mozilla Firefox 的電腦、手機或平板上發動攻擊,遠端執行任意程式碼,並且可取得裝置的控制權。

這個漏洞的 CVSS 危險程度評分高達 7.7 分,屬於高度危險(High)等級;受影響版本為現行版本 Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本。

而在以 Chromium 為基礎的 Google Chrome 與 Microsoft Edge 方面,則是修復了一個越界寫入(out-of-bounds write)的錯誤;這個錯誤發生在 Google 開發的開源 JavaScript 與 WebAssembly 引擎,亦可導致駭侵者遠端執行任意程式碼,並且奪取系統控制權。

Google Chrome 與 Microsoft Edge 的這個漏洞,編號為 CVE-2020-15995,其 CVSS 危險程度評分高達 8.8 分,危險程度等級屬於「高度危險」,影響的版本分別為 Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本,以及 Microsoft Edge 87.0.664.75 各平台之前所有版本。

影響產品

Mozilla Firefox:Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本; Google Chrome:Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本; Microsoft Edge:Microsoft Edge 87.0.664.75 各平台之前所有版本。

解決辦法

升級到各瀏覽器現行最新版本
回頁首