Google 周四釋出Chrome 79.0.3945.130,以減緩和Windows密碼元件漏洞造成的網釣攻擊風險,以及修補另外三項可讓駭客透過Chrome駭入電腦的漏洞。
Google Chrome新版本解決的第一項問題,和Windows CryptoAPI的CVE-2020-0601有關。它影響Windows中名為CryptoAPI 處理的加密元件,後者作用在讓開發人員為其軟體加入數位簽章以防被竄改。該漏洞可讓駭客發送惡意程式碼,以假憑證通過簽章驗證以冒充可信賴方的內容,包括檔案、電子郵件或網站,對終端用戶發送中間人(man-in-the-middle,MiTM)或網釣攻擊。該漏洞被列為「重要」風險(但非最高的「重大」),但因是由過去惡名昭彰的美國國安局(NSA)通報微軟而受人矚目。微軟已經在周二的Patch Tuesday中予以修補。
Chrome版79.0.3945.130 增加在Chrome用戶連入網站前,驗證網站憑證完整性的能力。Google開發人員Ryan Sleevi指出,新版Chrome尚不完美,但在用戶安裝Windows修補程式前已足以提供保護。BleepingComputer測試顯示,在未安裝修補程式的Windows 10 電腦上,若先升級到Chrome 79.0.3945.130,用戶再連上研究人員設立的假網站時,Chrome就會警告連線不安全,攻擊者可能從網站上試圖竊取用戶資訊。
這項功能來得正是時候,因為一名安全研究人員已經在漏洞及修補程式發佈不到24小時內,公開概念驗證攻擊,利用假的TLS憑證冒充NSA及GitHub網站,並騙過數個瀏覽器,包括Chrome、IE的檢查而放行用戶造訪。
除了CryptoAPI的相關驗證不足問題外,新版Chrome 79還另外修補了三項漏洞,其中CVE-2020-6378及CVE-2020-6379可讓駭客誘騙用戶連上惡意網站,觸發UAF(Use-After-Free)錯誤而執行惡意程式碼。CVE-2020-63-80則出在外掛程式處理元件的驗證不足,用戶若不慎下載惡意外掛,將可能遭駭入系統。其中CVE-2020-6378屬風險等級最高的「重大」漏洞,其餘則為「高度」風險。
安全公司Kudelski Security指出,除了Firefox,Chromium-based的瀏覽器和舊IE都受影響。微軟方面沒提出官方說明。但安全部落Swift on Security指稱,微軟昨日公開釋出的新版Chromium-based Edge也能提供防護。
網頁設計.RWD響應式網站.活動網站.企業形象網站 / 服務類
網站技術:PHP . Javascript/MySql
網頁設計,網頁切版,後台程式管理
精選專案.網頁設計.RWD響應式網站.行動版網站 / 服務類
網站技術:Javascript
智慧財產局為提供使用者線上申請專利商標,以及商標申請進度查詢等服務,因此特別規劃此系統讓大眾更為便利,包含的業務申請、繳費、查詢到線上協助等眾多智慧財產權相關的服務內容。
Line OA / 購物網站類
網站技術:PHP . Javascript/MySql
玩具"反"斗城現在也有LINE官方帳號/聊天室,大/小朋友與迷你朋友都喜歡反斗城的玩具!! 對爸媽來說買玩具也是需要精打細算,可以利用LINE官方帳號的優惠來到反斗城撿便宜喔。
電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map
© 2019 傑立資訊 All rights reserved.| 網站隱私政策