按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

卡巴斯基確認 Google Chrome 瀏覽器的嚴重 0-day 漏洞,已遭駭侵者大規模運用

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-20
  • 點閱次數:1536

卡巴斯基確認 Google Chrome 瀏覽器的嚴重 0-day 漏洞,已遭駭侵者大規模運用 TWCERT/CC

卡巴斯基發表最新警訊,指出一個存在於 Google Chrome 瀏覽器的 0-day 漏洞,已遭駭侵組織大規模使用。

卡巴斯基說,這個漏洞被用來進行典型的水坑式攻擊。駭侵組織駭入韓國某新聞網站,在該網站中植入一段惡意 JavaScript 程式碼,用戶若使用 Google Chrome 瀏覽該站首頁,就會引發一連串後續的惡意軟體攻擊,導致用戶電腦被用來執行任意程式碼。

卡巴斯基已在第一時間通報 Google,Google 也已釋出安全修補程式,建議所有 Chrome 用戶都能儘快安裝修補程式,避免受害範圍進一步擴大。

卡巴斯基的報告詳述了該惡意攻擊的流程;其惡意程式碼與先前的 Lazarus 攻擊有部分相似之處;而受害者也和早先一起稱為 DarkHotel 的攻擊行動接近。

 

  •  CVE編號:CVE-2019-13720
  • 影響產品:Google Chrome 78.0.3904.87 for Windows, Mac, Linux 之前版本
  • 解決方案:安裝 Google 釋出之安全修補程式,或更新至 Chrome 版本 78.0.3904.87
回頁首