• 發布單位:TWCERT/CC
• 更新日期:2020-05-20
• 點閱次數:2061

​資安專家近期發現五個 Google Chrome 的資安漏洞，可能遭駭侵者利用，進而在受害系統上遠端執行任意程式碼。

這批漏洞被資安研究人員稱為「麥哲倫 2.0」（Magellan 2.0），主要存在於 Google Chrome 瀏覽器的 SQLite 資料庫管理系統中。

由於 SQLite 資料庫體積小、運作速度快，因此有很多瀏覽器、手機或作業系統都廣泛採用 SQLite。

據 Mitre.org CVE 的報告指出，這五個 SQLite 漏洞，可以透過一個特製的 HTML 加以利用；駭客只要布署含有惡意程式碼的 HTML 檔讓瀏覽器讀取，即可透過這些漏洞遠端執行任意程式碼，並且毫無障礙地存取受害系統的機敏資訊。

據資安專家指出，任何採用 SQLite 的系統，如果沒有更新到最新版本，都可能含有這五個在 Google Chrome 中被發現的漏洞。

這一系列漏洞在 2019 年 11 月 16 日提報給 Google，Google 隨即於 2019 年 12 月 11 日推出修補過後的新版，版本號碼為 79.0.3945.79；任何早於這個版本的 Google Chrome 如果也啟用了內建的 SQLite 資料庫，就存有因為此一系列漏洞而遭攻擊的風險。

資安專家也指出，目前並未觀察到利用此一系列漏洞的大規模攻擊行動。

據 NVD 資料庫的評估，CVE-2019-13751 的嚴重程度為 6.5 分，危險評級為中度。

所有使用 Google Chrome 的用戶，應立即更新到最新版本，以修補這一系列漏洞。

• CVE編號：CVE-2019-13734, CVE-2019-13750, CVE-2019-13751, CVE-2019-13752,CVE-2019-13753
• 影響產品：Google Chrome 79.0.3945.79 之前版本
• 解決方案：更新至 Google Chrome 79.0.3945.79 起的新版