Google Chrome驚爆重大安全漏洞!10 億國人瀏覽器將陷入巨大風險

2020-11-24 51cto

Google Chrome驚爆重大安全漏洞!10 億國人瀏覽器將陷入巨大風險

根據大數據統計,國內有85%的瀏覽器是基於Google公司的 Chromium開源項目進行二次開發而來,包括著名的某安全瀏覽器,某雙核瀏覽器等等,但在近日Google 發布Chrome 網絡瀏覽器安全更新,包含針對重大安全漏洞的修補程式。

作者:渡多維來源:今日頭條|2020-04-30 16:35


Google Chrome

根據大數據統計,國內有85%的瀏覽器是基於Google公司的 Chromium開源項目進行二次開發而來,包括著名的某安全瀏覽器,某雙核瀏覽器等等,但在近日Google 發布Chrome 網絡瀏覽器安全更新,包含針對重大安全漏洞的修補程式。但因不希望邪惡黑客利用漏洞發動攻擊,因此除了表示漏洞涉及 [語音辨識模組『使用釋放後記憶體』(Use-After-Free,UAF)漏洞],就沒有透露更多細節。

多虧安全方案商Sophos 旗下安全研究員Paul Ducklin 的貼文,讓我們對適用Windows、Mac 及Linux 使用者的Chrome 81.0.4044.113 版安全修補有更充分的了解,同時了解為什麼需要及應該如何檢查以確保獲得安全更新的理由與方法。

據Ducklin 在Sophos 消費者部落格NakedSecurity 的貼文指出,Chrome 的漏洞可能會讓攻擊者規避「任何瀏覽器的例行性安全檢查或『確認』對話框」。就像許多「使用釋放後記憶體」漏洞,可能「允許攻擊者更改程式內部的控制流(Control Flow),包括讓CPU 轉而運行攻擊者從外部植入記憶體的不受信任程式碼。」 Ducklin 表示。

所謂「使用釋放後記憶體」漏洞是指,應用程式繼續使用運行中記憶體或RAM 的區塊,即使程式已將這些區塊「釋放」給其他應用程式使用卻繼續使用的漏洞。惡意應用程式之所以可利用這個錯誤發動惡意攻擊,是因為能透過捕獲這些釋放的記憶體區塊,誘騙應用程式執行不應該做的事。

由於Google 將此漏洞評定為「重大級」,所以很可能具備遠端執行程式碼的能力,Ducklin 表示,這意味著惡意攻擊者可「在沒有任何安全警示的情況下,遠端在你的電腦執行程式碼,即使在世界的另一端也能辦到。」 Google 表示Chrome 81.0.4044.113 版「將在未來幾天/幾周推出」,並為許多桌機使用者自動更新。但Ducklin 建議手動更新,以防萬一。

透過「關於Google Chrome」選項自動或手動完成安全更新,請在瀏覽器的工具列找到「關於Google Chrome」瀏覽器選項,通常在畫面右上角垂直堆疊排列的3 個點的圖示裡找到。如果有安全更新等待著你點取執行,原本灰白色的3 個點會以不同顏色呈現。

綠色表示發布快兩天的Chrome 更新等著你執行,橘色表示更新已發布約4 天之久,紅色表示更新至少一星期前就發布了。一旦灰白色的3 個點出現其他顏色時,請單擊圖示,然後在下拉視窗點取「說明」,然後在彈出視窗點取「關於Google Chrome」選項。一進入「關於Google Chrome」頁面時,Chrome 瀏覽器將自動開始檢查更新,並顯示目前執行的瀏覽器版本。

接著請更新到Chrome 81.0.4044.113 版或更新版。如果不想自動更新,在「關於Google Chrome」頁面應該會提示使用者更新。使用者可能需要重新啟動瀏覽器以執行修補程式。不論如何,對一般使用者來說,不妨考慮啟用裝置的自動更新功能。如此一來,每當Google 發布最新修補程式時,便不需要手動執行行更新,以免錯過安全更新時機,徒增不必要的安全風險。

【編輯推薦】

【責任編輯:

未麗燕

TEL:(010)68476606】

點讚 0

相關焦點

  • Google Chrome驚爆重大安全漏洞!10 億國人瀏覽器將陷入巨大風險
    Google公司的 Chromium開源項目進行二次開發而來,包括著名的某安全瀏覽器,某雙核瀏覽器等等,但在近日Google 發布Chrome 網絡瀏覽器安全更新,包含針對重大安全漏洞的修補程式。據Ducklin 在Sophos 消費者部落格NakedSecurity 的貼文指出,Chrome 的漏洞可能會讓攻擊者規避「任何瀏覽器的例行性安全檢查或『確認』對話框」。就像許多「使用釋放後記憶體」漏洞,可能「允許攻擊者更改程式內部的控制流(Control Flow),包括讓CPU 轉而運行攻擊者從外部植入記憶體的不受信任程式碼。」 Ducklin 表示。
  • Google Chrome瀏覽器漏洞使數十億用戶面臨數據被盜風險
    谷歌Chromium瀏覽器中的一個漏洞允許攻擊者繞過網站上的內容安全策略(CSP),從而竊取數據並執行流氓代碼。據PerimeterX網絡安全研究人員Gal Weizman稱,該漏洞(CVE-2020-6519)存在於Windows、Mac和Android的Chrome、Opera和Edge中,可能會影響到數十億的網絡用戶。
  • Chrome 80新穩定版發布:修復4個安全漏洞 推薦儘快升級
    面向Windows、GNU/Linux和Mac平臺,今天谷歌發布了Chrome 80.0.3987.132版本更新,主要修復了4個安全漏洞。該Chrome更新中包含了4個安全漏洞,不過直到大多數用戶都已經安裝之後才會公布所有詳細信息。這有助於防止黑客專門針對未部署新版本的設備發起攻擊。谷歌此前表示過:「對錯誤詳細信息和連結的訪問可能會受到限制,直到大多數用戶已經安裝修復程序更新為止。如果該錯誤存在於其他項目類似地依賴但尚未修復的第三方庫中,我們還將保留限制。」
  • 高危的Chrome漏洞允許黑客入侵瀏覽器
    其中3個是瀏覽器使用後的漏洞,漏洞可能會使瀏覽器的內存中產生錯誤,為主機被入侵和瀏覽器被黑客攻擊留下了隱患。上周五,網絡安全和基礎設施安全機構(CISA)發布了安全公告,敦促用戶和信息安全管理員儘快更新應用。該機構警告說,這些漏洞可以被攻擊者用來控制受漏洞影響的系統。
  • Google Chrome瀏覽器漏洞使數十億用戶遭受數據被盜風險
    谷歌的Chrome瀏覽器中存在安全漏洞,攻擊者可利用該漏洞繞過網絡的內容安全策略(CSP),進而竊取用戶數據並執行流氓代碼。其中,Chrome的73版本(2019年3月)到83版本均會受到影響,84版本已在7月發布,並修復了該漏洞。Chrome瀏覽器擁有超過20億用戶,並且佔瀏覽器市場的65%以上。CSP是一種Web標準,旨在阻止某些攻擊,比如跨站點腳本(XSS)和數據注入攻擊。CSP允許Web管理員指定瀏覽器將其視為可執行腳本的有效源的域。
  • Google Chrome設置頁改版:大幅優化隱私和安全保護
    在保持用戶界面簡潔高效的基礎上,近日谷歌對Chrome瀏覽器的隱私和安全方面進行了重大改進。除了讓Chrome更精細化處理隱私內容之外,谷歌還改善了對擴展程序的管理,以及在Incognito隱私瀏覽模式下對cookies的處理方式。
  • 融資2.5億的「紅芯」瀏覽器,竟是加殼的google chrome瀏覽器?
    號稱自主研發的國產瀏覽器,紅芯瀏覽器,突然宣布獲得2.5億C輪融資了,但是網友官網下載發現竟是一個加殼的google chrome,而且是兩年前的舊版本chrome4.9,好不容易找個理由給了錢,卻被你們扒成這樣相信很多人和我一樣,第一次聽說過這個瀏覽器,但2.5億的融資確實顯得著實厲害
  • Chrome 86.0.4240.183穩定版發布:修復兩個高危漏洞
    在過去幾周時間裡,谷歌都在積極修復存在於 Chrome 瀏覽器中的多個安全漏洞。最新發現的一個漏洞存在於桌面端 Chrome 的 V8 JavaScript 引擎中,能夠發起遠程執行代碼(RCE)攻擊。而存在於 Android 端 Chrome 中的一個漏洞能從沙盒中逃脫。
  • 谷歌推送緊急更新,修補Chrome瀏覽器重大安全漏洞
    谷歌在近日推送了Chrome瀏覽器的 76.0.3809.132更新,用於修補3個Chrome安全漏洞,此次更新推送的平臺包括Windows、macOS和Linux。
  • Google在萬聖節前發現了一個安全漏洞,立刻更新Chrome吧!
    Chrome安全漏洞的警告。10月31日,Google分享了有關兩個最近發現的漏洞的信息。這家搜索巨頭已經確認存在針對這些安全問題之一的零日攻擊。 從根本上講,零日漏洞利用是指一個邪惡的組織在原始開發者發布修復程序之前發現了可以用於網絡攻擊的錯誤。 Google發布了一個安全更新程序,以解決該問題,該問題將在未來幾天和幾周內自動推廣給所有用戶。
  • Ubuntu系統如何安裝google chrome瀏覽器
    那麼Ubuntu系統中如何快速的安裝google的chrome瀏覽器呢?首先在Ubuntu系統中打開現有的瀏覽器,比如火狐瀏覽器或者其他瀏覽器,輸入Chrome瀏覽器的網址:https://www.google.cn/chrome/打開官網之後會看到「下載Chrome」字樣,點擊下載彈出下載提示信息,天天Python使用的Ubuntu系統,所以直接選擇接受並安裝即可,大家也可以根據自己所使用的系統自行選擇下載的版本。
  • Google Chrome瀏覽器官網下載
    Google Chrome瀏覽器官網下載特點:不易崩潰chrome最大的亮點就是其多進程架構,保護瀏覽器不會因惡意網頁和應用軟體而崩潰。每個標籤、窗口和插件都在各自的環境中運行,因此一個站點出了問題不會影響打開其它站點。通過將每個站點和應用軟體限制在一個封閉的環境中這種架構,這進一步提高了系統的安全性。
  • 如何在Kali Linux中安裝Google Chrome瀏覽器
    如何在Kali Linux中安裝Google Chrome瀏覽器 我們的目標就是在 Kali Linux 上安裝好 Google Chrome Web 瀏覽器。同時,請參閱附錄為可能出現的問題進行排查。
  • Google將把Chrome瀏覽器從Chrome OS分離出去
    Google的Chromebook、Chrome OS對於大多數人的印象,應該都是指他們是基於Chrome瀏覽器為中心的筆記本和作業系統,所以Chromebook也被國內用戶稱為上網本(儘管在國內很少賣),但有意思的是,最近有傳聞Google計劃把Chrome從Chrome OS中分離出來。
  • 安卓瀏覽器現重大漏洞
    原標題:安卓瀏覽器現重大漏洞 UC瀏覽器成唯一倖存者   近日,有國外安全研究者爆出了安卓系統上瀏覽器安全機制繞過漏洞(CVE-2014-6041),並且提供了相應的漏洞測試代碼。國內著名安全漏洞平臺烏雲漏洞平臺測試發現,目前國內獵豹、360、遨遊、搜狗與百度等手機瀏覽器最新官方版本均存在此漏洞,不過用戶量最大UC瀏覽器並不存在此問題。
  • Google Chrome 瀏覽器重新設計「隱私和安全設置」頁面
    Chromium 小組重新設計了 Chrome 瀏覽器的「隱私設置」或 Chrome 80 中的「隱私和安全設置」卡。
  • ...v80.0.3987.87 正式版發布 - Google Chrome 谷歌瀏覽器...
    Cookie可能會破壞網站功能,啟用這項功能之後意味著只有從安全連結訪問cookies的時候,它們才可以在第三方上下文中使用。谷歌瀏覽器v79正式版主要更新,對密碼檢查工具的內置支持,通過安全瀏覽API實時將惡意網站列入黑名單,可預防網絡釣魚的常規可用性,禁止加載HTTPS「混合內容」,支持選項卡凍結,Chrome Sync個人資料部分的新界面,以及對後退緩存機制的支持。谷歌瀏覽器v78正式版主要更新,帶來了多項功能和改進,在Windows 10(版本 1511+)系統上默認啟用。
  • 谷歌Chrome瀏覽器V46.0.2490.80正式版發布
    Flash最近很是煩惱,跟Flash相關的軟體更是煩惱,因為Flash頻頻出現安全漏洞,每次修復升級,這些軟體也要跟著升,Chrome跟進速度也是蠻快的,這次主要就是升級了Adobe Flash Player(19.0.0.226)。 Google Chrome,又稱Google瀏覽器,是個由Google(谷歌)公司開發的網頁瀏覽器。
  • Chrome 65穩定版更新發布:安全方面進行了多項修復
    本周二Google正式發布了Chrome 65穩定版,包括Blink引擎在內的多個組件獲得重大改進,並且在安全方面進行了多項修復,共計修復了45處安全漏洞。在面向開發者方面,新版本新增了兩個全新API,分別為CSS Paint API和 ServerTiming API。
  • Google Chrome v46.0.2490.80 正式版發布
    Flash最近很是煩惱,跟Flash相關的軟體更是煩惱,因為Flash頻頻出現安全漏洞,每次修復升級,這些軟體也要跟著升,Chrome跟進速度也是蠻快的,這次主要就是升級了Adobe Flash Player(19.0.0.226)。