Google本周发布Windows、Mac及Linux平台Chrome浏览器80.0.3987.122版,以修补三项漏洞,包括一个已遭开采的零时差攻击漏洞。
编号CVE-2020-6418是由Google威胁分析小组成员Clement Lecigne,所通报的类型混淆(Type confusion)漏洞。漏洞细节不明,但一般这类漏洞允许攻击者改造如JavaScript等对象,造成某组件混淆而允许程序代码执行。一旦Chrome用户被导向恶意网站,可能让黑客得以远程执行任意程序代码,可能后果包括窃取、删改数据、植入恶意程序或取得管理员权限。Google并表示,已发现网络上有开采本漏洞的情形发生。
另二个漏洞分别为编号CVE-2020-6407、Google Project Zero研究人员Sergei Glazunov发现的越界内存访问(Out of bounds memory access)漏洞,以及Mozilla研究人员Jeff Walden发现Chrome ICU(International Components for Unicode)中的整数溢出(integer overflow)漏洞。连同CVE-2020-6418,三者皆被列为高度风险。
这是一周来Google Chrome小组第二次发布安全更新版。一周前Google才发布Chrome 80.0.3987.116版,以修补3项高风险漏洞。