Google三度修補Chrome 86零時差漏洞

2021-01-06 十輪網

Google的Chrome團隊於周三(11/11)發布86.0.4240.198,以修補兩個已被黑客開採的零時差漏洞CVE-2020-16013與CVE-2020-16017。而這已是Google自10月6日發布Chrome 86以來,第三度緊急修補該版本的零時差漏洞。

其中,CVE-2020-16013起因於V8的不當實例,而CVE-2020-16017則是屬於網站隔離的釋放後使用漏洞。Google照例並未公布這兩個安全漏洞的細節,僅說與上述漏洞有關的開採程序已現身。

Google在發布Chrome 86時雖然修補了35個安全漏洞,但並無任何零時差漏洞,不過,Google在10月20日發布86.0.4240.111,修補5個安全漏洞,其中的CVE-2020-15999即已被黑客開採,之後再於11月2日發布Chrome 86.0.4240.183,修補10個安全漏洞,其中的CVE-2020-16009也屬於零時差漏洞。

換言之,這一個多月以來,Google總計替Chrome 86執行3次的緊急更新,修補了4個零時差漏洞。

黑客覬覦Chrome並不令人意外,因為它畢竟是全球最多人使用的瀏覽器,根據市場調查機構Net Applications的統計,Chrome目前在桌面瀏覽器的市場佔有率高達69.28 %,居次的是Edge的7.75%,Firefox則以7.48%排名第三。

相關焦點

  • Google緊急修補Chrome的零時差漏洞
    Google在今年的10月6日發布了Chrome 86,該版本除了具備簡化被黑密碼修改程序,以及限制背景分頁的資源使用等新功能之外,也修補了35個安全漏洞,不過,Google
  • Google Project Zero披露源自先前漏洞修補不完全的Windows零時差...
    Google Project Zero團隊在23日,披露了位於Windows 10的零時差漏洞CVE-2020-17008,這並非是個全新的漏洞,而是起因於微軟在6月對CVE-2020-0986漏洞修補不完全所造成,而且只要稍加修改針對CVE-2020-0986漏洞的開採程序,就能開採CVE-
  • Chrome 86.0.4240.183穩定版發布:修復兩個高危漏洞
    本周一,谷歌面向 Windows、macOS 和 Linux 發布了 Chrome 86.0.4240.183 更新,修復了上述漏洞。該補丁說明除了說它與V8 JavaScript渲染引擎中的 "不適當的實現 "有關外,沒有透露有關該安全漏洞的細節。它還提到這個弱點已經被積極利用。
  • 賽門鐵克Endpoint Protection曝零時差漏洞
    專門提供安全課程與教育訓練的Offensive Security揭露,賽門鐵克的防病毒軟體Endpoint Protection含有許多安全漏洞,並祭出影片展示其中一項權限擴大漏洞。  Offensive Security表示,最近他們剛好有機會稽核賽門鐵克的Endpoint Protection防毒解決方案,發現了許多漏洞,有些已提報給美國計算機緊急應變中心(US-CERT),有些則打算在今年8月於拉斯韋加斯舉行的黑帽會議(Black Hat)上發表。諷刺的是,這款號稱幫助企業抵擋零時差攻擊的軟體本身就有零時差漏洞。
  • Google Chrome v46.0.2490.86 正式版發布
    Flash最近特煩惱,跟Flash相關的軟體更是特煩惱,因為Flash頻頻出現安全漏洞,每次修復升級,這些軟體也要跟著升,Chrome跟進速度也是蠻快的,這次主要就是升級了Adobe Flash Player(19.0.0.245)。
  • 中國+86手機號無法註冊google帳號的解決方案
    想註冊新的google帳號,一直卡在手機驗證環節,用大陸手機號,始終提示:此電話號碼無法用於進行驗證。本文將給你一個通過實踐可行且零成本的方法。在正式介紹之前,我先要介紹一下我的求證過程,網上的一些未經驗證的方法實在坑了我不少時間。列舉出來,防止大家再去入坑。
  • 研究人員揭露還沒有修補程式的Windows 工作排程器零時差漏洞
    一名研究人員在沒有通報微軟下,逕行在推特上公布了微軟Windows工作排程器上的本地權限擴張漏洞,並在GitHub公布PoC攻擊程式,微軟預計在下個月的例行安全更新中修補。一名研究人員在沒有通報微軟的情況下,就透過推特公布了微軟工作排程器(task scheduler)一項權限升級的零時差攻擊漏洞,以及PoC攻擊程式碼。名為SandboxEscaper的研究人員並未說明任何漏洞細節,只說是零時差漏洞,而他也未通報微軟,但是卻在GitHub公布了概念驗證(PoC)攻擊程式。CERT/CC工程師Will Dormann隨後證實了漏洞的存在。
  • 駭客揭iPhone相機零時差漏洞 獲蘋果賞金
    ▲Ryan Pickren於向蘋果披露了多個零時差漏洞,其中3個漏洞可透過誘騙用戶開啟惡意網站的方式來劫持用戶iPhone的相機。(圖/取自免費圖庫Pixabay) 王曉敏/綜合報導 蘋果於去年底在官網上發布了最新的漏洞懸賞給付計劃,據外媒報導,蘋果近日已向一名駭客支付了7.5萬美元獎勵,因該名駭客於Safari中發現了多個零時差漏洞(zero-day vulnerability,又稱作零日漏洞),其中一些漏洞可用於劫持iOS或macOS
  • 微軟「破例」為XP發布零時差漏洞更新修復
    2014-05-04/08:59 5月4日消息,近日,微軟IE瀏覽器爆發了嚴重的零時差漏洞
  • 雲安全日報201022:谷歌Chrome瀏覽器發現執行任意代碼高危漏洞...
    10月21日,谷歌發布了Chrome版本86.0.4240.111,以修復多個安全高嚴重性問題,其中包括一個零日漏洞,攻擊者利用該漏洞在野外劫持了目標計算機。
  • 谷歌發布Chrome 86.0.4240.198 緊急修復兩個漏洞
    原標題:谷歌發布Chrome 86.0.4240.198 修復兩個零日漏洞   ZDNet 報導稱,谷歌在過去三周時間內,修復了影響 Chrome 瀏覽器的五個零日漏洞。在今日發布的 Chrome 86.0.4240.198 版本中,就包括了最新的兩個。據悉,此前的三個零日漏洞,是谷歌內部安全研究人員發現的。
  • Google修補Chrome瀏覽器的5個安全問題 其中有已被利用的高危漏洞
    谷歌已經在其Chrome瀏覽器中修補了5個安全漏洞,其中一個漏洞正在被不懷好意者瘋狂利用。這些漏洞包括1個緩衝區溢出和3個導致程序崩潰任意代碼執行內存數據的破壞性缺陷,但CVE-2020-15999無疑是最嚴重的,它甚至可以給你的瀏覽器自動安裝自定義字體。
  • 谷歌發布Chrome 86.0.4240.198 修復兩個零日漏洞
    ZDNet 報導稱,谷歌在過去三周時間內,修復了影響 Chrome 瀏覽器的五個凌日漏洞。在今日發布的 Chrome 86.0.4240.198 版本中,就包括了最新的兩個。據悉,此前的三個零日漏洞,是谷歌內部安全研究人員發現的。而這次緊急修復的兩個,則來自於不願透露姓名的消息人士。
  • Oracle Solaris重大零時差漏洞遭黑客開採,曾潛伏企業內長達2年
    又一項甲骨文軟體漏洞遭到開採。安全廠商發現,Oracle Solaris Server一個風險10.0的零時差漏洞,在2年前便有黑客組織開採並黑入企業網絡,直到最近才被發現及修補。FireEye旗下研究單位Mandiant發現這項漏洞及作亂黑客並通報甲骨文。
  • Google推出Chrome更新修復多個漏洞包括一個零日漏洞
    Google今天針對Windows、Mac以及Linux系統發布了Chrome 86.0.4240. 183更新。這次的更新可以解決不少的安全性問題,包括一個已經被人利用,可以讓攻擊者執行任意代碼的零日漏洞。
  • Google推出Chrome更新,修復多個漏洞包括一個零日漏洞
    Google今天針對Windows、Mac以及Linux系統發布了Chrome 86.0.4240. 183更新。這次的更新可以解決不少的安全性問題,包括一個已經被人利用,可以讓攻擊者執行任意代碼的零日漏洞。
  • Chrome 80新穩定版發布:修復4個安全漏洞 推薦儘快升級
    根據目前掌握的情況,其中修復的一個漏洞是CVE-2020-6420。是由研究員Taras Uzdenov發現的高嚴重性漏洞。谷歌表示2月11日收到了關於媒體政策執行不力的漏洞報,並向研究人員支付了1000美元的賞金。
  • 高危的Chrome漏洞允許黑客入侵瀏覽器
    高危的Chrome漏洞允許黑客入侵瀏覽器 谷歌更新了它的Chrome網絡瀏覽器,總共修復了8個漏洞,包括4個評級為高危的漏洞。該機構警告說,這些漏洞可以被攻擊者用來控制受漏洞影響的系統。
  • 微軟修補115個安全漏洞,有26個被列為重大風險
    微軟在今年3月的Patch Tuesday例行性修補日,修補了115個安全漏洞,當中有26個被列為重大(Critical)風險,但此次並未出現零時差攻擊漏洞。根據微軟的說明,CVE-2020-0684漏洞位於Windows中,黑客只要透過一個伴隨著惡意執行程式的惡意.LNK檔案,就能觸發該漏洞,黑客的手法可能是透過遠端分享或是隨身碟,來誘導使用者執行惡意.LNK檔案,成功開採的黑客,將可取得本地端用戶的同樣權限。
  • [圖]Chrome 86.4240.198穩定版發布:修復兩個高危零日漏洞
    本周三(11月11日)面向 Windows、macOS 和 GNU/Linux 平臺,谷歌推出了 Chrome 86.4240.198 穩定版更新。