Google上周发布Chrome网络浏览器安全更新,包含针对重大安全漏洞的修补程序。但因不希望邪恶黑客利用漏洞发动攻击,因此除了表示漏洞涉及“语音识别模块“使用释放后内存”(Use-After-Free,UAF)漏洞”,就没有透露更多细节。
多亏安全方案商Sophos旗下安全研究员Paul Ducklin的贴文,让我们对适用Windows、Mac及Linux用户的Chrome 81.0.4044.113版安全修补有更充分的了解,同时了解为什么需要及应该如何检查以确保获得安全更新的理由与方法。
据Ducklin在Sophos消费者博客NakedSecurity的贴文指出,Chrome的漏洞可能会让攻击者规避“任何浏览器的例行性安全检查或“确认”对话框”。就像许多“使用释放后内存”漏洞,可能“允许攻击者更改程序内部的控制流(Control Flow),包括让CPU转而运行攻击者从外部植入内存的不受信任程序代码。”Ducklin表示。
所谓“使用释放后内存”漏洞是指,应用程序继续使用运行中内存或RAM的区块,即使程序已将这些区块“释放”给其他应用程序使用却继续使用的漏洞。恶意应用程序之所以可利用这个错误发动恶意攻击,是因为能通过捕获这些释放的内存区块,诱骗应用程序执行不应该做的事。
由于Google将此漏洞评定为“重大级”,所以很可能具备远程执行程序代码的能力,Ducklin表示,这意味着恶意攻击者可“在没有任何安全警示的情况下,远程在你的计算机执行程序代码,即使在世界的另一端也能办到。”Google表示Chrome 81.0.4044.113版“将在未来几天/几周推出”,并为许多PC机用户自动更新。但Ducklin建议手动更新,以防万一。
通过“关于Google Chrome”选项自动或手动完成安全更新
请在浏览器的工具栏找到“关于Google Chrome”浏览器选项,通常在画面右上角垂直堆栈排列的3个点的图标里找到。如果有安全更新等待着你点取执行,原本灰白色的3个点会以不同颜色呈现。
绿色表示发布快两天的Chrome更新等着你执行,橘色表示更新已发布约4天之久,红色表示更新至少一星期前就发布了。一旦灰白色的3个点出现其他颜色时,请单击图标,然后在下拉窗口点取“说明”,然后在弹出窗口点取“关于Google Chrome”选项。一进入“关于Google Chrome”页面时,Chrome浏览器将自动开始检查更新,并显示目前执行的浏览器版本。
接着请更新到Chrome 81.0.4044.113版或更新版。如果用户不想自动更新,“关于Google Chrome”页面应该会提示用户更新。用户可能需要重新启动浏览器以执行修补程序。不论如何,对一般用户来说,不妨考虑激活设备的自动更新功能。如此一来,每当Google发布最新修补程序时,便不需要手动执行行更新,以免错过安全更新时机,徒增不必要的安全风险。
(首图来源:科技新报截屏)