Google緊急修補Chrome零時差漏洞

• 發布日期：108-12-04
• 發布單位：刑事警察大隊

Google 10/22釋出Chrome 78，隨後因發現已被利用的零時差漏洞，10/31又緊急釋出Chrome 78.0.3904.87修補程式，以供Windows、Mac與Linux用戶更新。此零時差漏洞是由卡巴斯基實驗室(Kaspersky Labs)所發現，編號CVE-2019-13720，是藏匿在音訊功能中之Use-After-Free漏洞，可讓駭客掌控受害者系統。卡巴斯基10/29向Google提報該漏洞，因研究人員已發現利用該漏洞的攻擊行動，卡巴斯基將該攻擊稱為WizardOpium行動，駭客先在一個韓文新聞網站進行水坑攻擊，於該網站上植入惡意JavaScript，再等待受害者上鉤。
該惡意JavaScript會檢查來訪者所使用之瀏覽器版本，若發現來訪者使用Chrome 65或之後版本，便會展開攻擊行動，藉由在受害者系統上分配與釋放記憶體，再輔以其它技術來取得系統讀寫權，最後在系統上植入惡意程式取得所有控制權。為能持續控制受害系統，駭客還會在微軟Windows工作排程器(Task Scheduler)上安裝任務。不過考量用戶可能來不及更新，為降低用戶受攻擊風險，Google與卡巴斯基均保留一些漏洞細節沒有公開。另外，Chrome 78.0.3904.87也修補另一個由banananapenguin於10/12所提報的CVE-2019-13721漏洞，與CVE-2019-13720同樣屬於高風險漏洞，但尚未遭到駭客利用。

資料來源參考：
https://www.kaspersky.com/blog/google-chrome-zeroday-wizardopium/29126/
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html
https://www.ithome.com.tw/news/133988
參考網站：
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16318