資料來源:TANet CERT台灣學術網路危機處理中心

https://www.twcert.org.tw/tw/cp-104-4476-b51ab-1.html

 

Google 於日前推出 Chrome 瀏覽器更新,修復多個資安漏洞,其中包括一個嚴重漏洞,可能導致駭侵者遠端執行任意程式碼,用戶應立即更新至最新版本。

Google 於日前推出 Chrome 瀏覽器更新版本 89.0.4389.72,修復多個資安漏洞,其中包括一個嚴重漏洞,可能導致駭侵者遠端執行任意程式碼,用戶應立即更新至最新版本。

這個編號為 CVE-2021-21166 的資安漏洞,存於 Chrome 處理音訊的子系統中;該段程式碼在處理音訊物件的生命周期時存有錯誤,駭侵者若將用戶導向到特製的網頁,即可觸發此錯誤,造成堆疊暫存區的溢位錯誤,藉以遠端執行任意程式碼。

這個漏洞的 CVSS v3 危險程度評分高達 8.8 分,危險程度分級達到嚴重(critical)等級。存有這個漏洞的 Google Chrome 為各主要作業系統(Windows, Mac, Linux)89.0.4389.71 之前的各個 Chrome 89 版本。

據 Google 發表的資安通報指出,該公司已掌握此一漏洞遭外界大規模濫用的情資;Google 已於資安通報發表的同時,推出新版 Chrome 89.0.4389.72 版本,修復此一嚴重漏洞;用戶應立即更新到最新版本,以避免遭駭侵者利用此漏洞發動攻擊。

除此漏洞之外,新推出的 Chrome 89.0.4389.72 版本,同時也修復了另外 46 個嚴重程度較低的資安漏洞,其中危險程度等級較高的漏洞包括:

  • CVE-2021-21159:TabStrip 組件中的 Heap 暫存記憶體溢位錯誤;
  • CVE-2021-21160:WebAudio 組件中的 Heap 暫存記憶體溢位錯誤;
  • CVE-2021-21161:TabStrip 組件中的 Heap 暫存記憶體溢位錯誤;
  • CVE-2021-21162:WebRTC 使用已釋放記憶體的錯誤;
  • CVE-2021-21163:閱讀模式中資料驗證不足;
  • CVE-2021-21164:iOS 版本資料驗證不足。

CVE編號:CVE-2021-21166

影響產品/版本:Google Chrome 89.0.4389.71 之前的各個 Chrome 89 Windows、Mac、Linux 版本

解決方案:升級至 Chrome 89.0.4389.72