按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

Chrome、Edge、Firefox 各自修復可造成系統遭挾持的資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2021-01-18
  • 點閱次數:2512
Chrome、Edge、Firefox 各自修復可造成系統遭挾持的資安漏洞 TWCERT/CC

多個主流網頁瀏覽器 Chrome、Edge 和 Firefox 近期各自修復可導致系統遭挾持的嚴重資安漏洞,用戶應立即更新至最新版本,以避免受此漏洞影響。

多個主流網頁瀏覽器 Google Chrome、Microsoft Edge 和 Mozilla Firefox,近期各自修復可導致系統遭挾持的嚴重資安漏洞;這三種瀏覽器的廣大用戶,應立即更新至最新版本,以避免受此漏洞影響。

在 Mozilla Firefox 方面,修復的漏洞編號為 CVE-2020-16044。這個漏洞屬於「使用已釋放記憶體」(use-after-free)錯誤,發生在 Firefox 處理 cookie 的方式;駭侵者可以透過發送特製的 COOKIE ECHO chunk 以誘發這個錯誤,在執行 Mozilla Firefox 的電腦、手機或平板上發動攻擊,遠端執行任意程式碼,並且可取得裝置的控制權。

這個漏洞的 CVSS 危險程度評分高達 7.7 分,屬於高度危險(High)等級;受影響版本為現行版本 Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本。

而在以 Chromium 為基礎的 Google Chrome 與 Microsoft Edge 方面,則是修復了一個越界寫入(out-of-bounds write)的錯誤;這個錯誤發生在 Google 開發的開源 JavaScript 與 WebAssembly 引擎,亦可導致駭侵者遠端執行任意程式碼,並且奪取系統控制權。

Google Chrome 與 Microsoft Edge 的這個漏洞,編號為 CVE-2020-15995,其 CVSS 危險程度評分高達 8.8 分,危險程度等級屬於「高度危險」,影響的版本分別為 Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本,以及 Microsoft Edge 87.0.664.75 各平台之前所有版本。

  • CVE編號:CVE-2020-16044、CVE-2020-15995
  • 影響產品:
    • Mozilla Firefox:Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本;
    • Google Chrome:Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本;
    • Microsoft Edge:Microsoft Edge 87.0.664.75 各平台之前所有版本。
  • 解決方案:升級到各瀏覽器現行最新版本
回頁首