按 Enter 到主內容區
:::

TWCERT-電子報

:::

Google Chrome 90 新版修復多個資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-05-04
  • 點閱次數:727
Google Chrome 90 新版修復多個資安漏洞 TWCERT/CC

CVE編號

CVE-2021-21227 等

內文

近日即將推出的 Google Chrome 版本 90,修復多達 9 個資安漏洞,其中包括數個高危險等級,可能造成駭侵者遠端執行任意程式碼;用戶應立即更新所有 Chromium 瀏覽器。

Google 近日即將推出的 Google Chrome 版本 90,修復多達 9 個資安漏洞,其中包括數個危險程度列為高危險等級的漏洞,這些漏洞有可能讓駭侵者可以遠端執行任意程式碼;用戶應立即更新所有 Chromium 瀏覽器。

在這些漏洞中,最嚴重的是 CVE-2021-21227 這個漏洞;發現這個漏洞的是資安廠商 Singular Security Lab 旗下的研究員。據 Google 的更新說明文件指出,CVE-2021-21227 是存於 Google Chrome V8 引擎中的一個錯誤,由於未能對資料進行充分檢查,導致駭侵者有可能透過此漏洞,遠端執行任意程式碼。

不過研究人員也指出,這個漏洞必須和其他的資安漏洞合併使用,否則就無法跳過 Chrome 的記憶體沙盒,也無法觸及任何在沙盒之外執行的應用程式與系統資源;不過如果該漏洞利用的程式本身有較高執行權限,或是用戶自行關閉沙盒保護機制,那就可以直接存取系統發動 RCE 攻擊。

Google 這次推出的新版 Google Chorme 90.0.4430.93,也修復了多個其他漏洞,包括 CVE-2021-21232、CVE-2021-21233、CVE-2021-21228、CVE-2021-21229、CVE-2021-21230、CVE-2021-21231 等等;對應的作業系統版本包括 Windows、Mac、Linux 等主流作業系統。

此外,市場上有多種使用與 Google Chrome 同一開源程式碼基礎 Chromium 的多種瀏覽器,如 Microsoft Edge、Brave、Vivaldi、Sidekick 等,也應一併更新。請用戶注意近期各瀏覽器的更新訊息,一旦有新版可供下載,請立即安裝,以修補這些已知資安漏洞,降低遭到駭侵攻擊的風險。

影響產品

Google Chrome(Chromium)版本 90 之前

解決辦法

更新到 Google Chrome(Chromium)版本 90 或更新版本
回頁首