Chrome、Edge、Firefox 各自修復可造成系統遭挾持的資安漏洞
- 發布日期:110-01-25
- 發布單位:刑事警察大隊
Chrome、Edge、Firefox 各自修復可造成系統遭挾持的資安漏洞
https://www.twcert.org.tw/tw/cp-104-4312-eeb8a-1.html
多個主流網頁瀏覽器 Google Chrome、Microsoft Edge 和 Mozilla Firefox,近期各自修復可導致系統遭挾持的嚴重資安漏洞;這三種瀏覽器的廣大用戶,應立即更新至最新版本,以避免受此漏洞影響。
在 Mozilla Firefox 方面,修復的漏洞編號為 CVE-2020-16044。這個漏洞屬於「使用已釋放記憶體」(use-after-free)錯誤,發生在 Firefox 處理 cookie 的方式;駭侵者可以透過發送特製的 COOKIE ECHO chunk 以誘發這個錯誤,在執行 Mozilla Firefox 的電腦、手機或平板上發動攻擊,遠端執行任意程式碼,並且可取得裝置的控制權。
這個漏洞的 CVSS 危險程度評分高達 7.7 分,屬於高度危險(High)等級;受影響版本為現行版本 Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本。
而在以 Chromium 為基礎的 Google Chrome 與 Microsoft Edge 方面,則是修復了一個越界寫入(out-of-bounds write)的錯誤;這個錯誤發生在 Google 開發的開源 JavaScript 與 WebAssembly 引擎,亦可導致駭侵者遠端執行任意程式碼,並且奪取系統控制權。
Google Chrome 與 Microsoft Edge 的這個漏洞,編號為 CVE-2020-15995,其 CVSS 危險程度評分高達 8.8 分,危險程度等級屬於「高度危險」,影響的版本分別為 Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本,以及 Microsoft Edge 87.0.664.75 各平台之前所有版本。
CVE編號:CVE-2020-16044、CVE-2020-15995
影響產品:
Mozilla Firefox:Firefox Desktop 84.0.2、Firefox Android 84.1.3、Firefox 企業版 ESR 78.6.1 之前的所有版本;
Google Chrome:Google Chrome Windows、macOS、Linux 87.0.4280.141 先前的所有版本;
Microsoft Edge:Microsoft Edge 87.0.664.75 各平台之前所有版本。
解決方案:升級到各瀏覽器現行最新版本
|