Google上周发布Windows、Mac、Linux版Chrome 81.0.4044.113,以修补一项重大风险的远程程序代码执行(RCE)漏洞,可能让远程攻击者暗中执行恶意程序,用户应尽快升级到最新版本。
Google指出,最新版本Chrome将在未来几天,最迟几周内部署到PC机用户。
本次版本修补的漏洞,由中国安全厂商奇虎360 Alphabet实验室的研究人员于4月初通报。该漏洞编号为CVE-2020-6457,属于影响Chrome语音识别组件中的使用已释放内存(Use after free,UaF)漏洞。
不过Google并未公开本漏洞细节,表示要等到大部分用户,都接获更新才会公布。此外,担心其他项目使用的第三方函数库尚未修补这项漏洞,因此Google也限制访问相关信息。
UaF漏洞是内存毁损漏洞,通常是由攻击者发送指令触发,进而在内存内写入并执行恶意程序。安全厂商Sophos指出,某些情况下UaF漏洞可能让攻击者变更程序内的控制流,像是引导CPU执行由攻击者写入内存、不受信任的程序代码,而绕过浏览器正常的安全检查,或“你确定要执行?”的对话框,也是远程程序代码执行(remote code execution,RCE)漏洞。
Sophos解释,这类漏洞可让攻击者在不触发警告,在受害计算机上远程执行程序代码,也是最严重的漏洞类型。
该漏洞仅影响Windows、Mac、Linux版Chrome 81。Google表示并不影响ChromeOS版。
GitHub安全研究人员本周稍早也披露影响Chrome 80 WebAudio组件的另一个重大风险RCE漏洞,编号CVE-2020-6450,可让黑客引诱用户连上恶意网站开采。它起于2月间CVE-2020-6427,以及CVE-2020-6429这二项漏洞修补不全所致,如果用户Chrome仍在80.0.3987.162之前版本,也应尽快升级。