Google 推出新版 Chrome,解決已遭大規模利用的 0-day 資安漏洞

這個漏洞的編號為 CVE-2020-15999,其 CVSS 危險程度評分分數高達 7.7,屬於「嚴重」(critical) 等級。漏洞存在於 Google Chrome 用以處理 FreeType 字體的程式庫;駭侵者可利用特製的 TTF 字型檔案,誘發記憶體崩潰,藉以遠端執行任意程式碼。

據資安廠商 Cybersecurity Help 指出,這個 CVE-2020-15999 已遭駭侵者大規模使用;未及更新 Google Chrome 的用戶,有可能因為這個漏洞而遭到攻擊,導致整個電腦系統被駭侵者挾持。

Google 內部的資安研究團隊 Project Zero 率先發現這個 0-day 漏洞,雖然漏洞相關細節在此前並未公開,但顯然已遭駭侵者掌握,用以發動攻擊。

資安專家也指出,由於修補此一漏洞的程式碼可在 FreeType 的開源專案中檢視,因此駭侵者也很可能在未來數周之內利用逆向工程,找到觸發漏洞的方法,並加入其駭侵工具之中。

所有 Google Chrome 各平台與各版本用戶,皆應立即升級至 86.0.4240.111 或更新版本,以避免遭駭侵者透過此漏洞發動攻擊。

  • CVE編號:CVE-2020-15999
  • 影響產品/版本:Google Chorme 各平台 86.0.4240.111 先前版本
  • 解決方案:升級至 Google Chorme 86.0.4240.111 及之後版本

相關連結

  1. TWCERT/CC https://www.twcert.org.tw/tw/cp-104-4089-fc67a-1.html
  2. Stable Channel Update for Desktop
  3. Project Zero discovered and reported an actively exploited 0day in freetype
  4. Remote code execution in FreeType library
  5. Google releases Chrome security update to patch actively exploited zero-day

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

Scroll to Top