按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

新版 Google Chrome 緊急修復一個已遭濫用於攻擊的 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-02-17
  • 點閱次數:3378
新版 Google Chrome 緊急修復一個已遭濫用於攻擊的 0-day 漏洞 TWCERT/CC

Google 日前緊急推出 Google Chrome 瀏覽器最新版本 98.0.4758.102,修復一個已經遭到外部駭侵者廣泛濫用以發動攻擊的 0-day 漏洞 CVE-2022-6069。

這次推出的新版 Google Chrome,包括 Windows、Mac 與 Linux 全作業系統版本,使用舊版 Google Chrome 的用戶,應立即透過 Chrome 內建的更新機制,儘速更新至最新版本。

在 Google 發表的資安通報中,並未詳細說明該 0-day 漏洞的運作方式與細節,僅說明該漏洞為一種「釋放後使用」(use after free)型漏洞。

該漏發生於 Google Chrome 的動畫(Amination)組件中,其 CVSS 危險程度評分為 6.0 分(滿分為 10 分),危險程度分級為「高」(high)等級。

據 vuldb.com 網站指出,駭侵者可以利用未知的輸入,誘發此漏洞並產生記憶體崩潰;該網站也估計使用此漏洞進行駭侵攻擊的價碼,約在 5,000 美元到 25,000 美元之間。

據資安專家指出,這類「釋放後使用」的漏洞,多半是用來未曾更新的 Chrome 瀏覽器上執行任意程式碼,或是讓惡意程式碼有機會突破沙箱(Sandbox)的封鎖,以取用外部資源,或攻擊外部的組件。

這個漏洞是 Google 在今(2022)年首次修復的 0-day 漏洞,然而在 2011 年 Google Chrome 一共修復多達 16 個 0-day 漏洞,其中許多都遭駭侵者大規模用於攻擊。

由於未修補的舊版 Chrome 很容易成為駭侵者的攻擊目標,建議所有 Google Chrome 用戶,一定要勤於更新,才能避免成為受駭者。

  • CVE編號:CVE-2022-0609
  • 影響產品(版本):Google Chrome 98.0.04758.102 之前各作業系統版本,包括 Windows、Mac、Linux。
  • 解決方案:升級至 Google Chrome 98.0.04758.102 與所有後續版本。
回頁首