隱私權聲明
本公司關心使用者隱私權與個人資訊,並遵守本公司的網站隱私政策,使用者若有任何問題,可以參考本公司的「網站隱私政策」,或利用電子郵件或連絡電話詢問本公司.
2020
01
21

Google Chrome新版本可防止Windows CryptoAPI驗證漏洞攻擊 [轉載於iThome]

關鍵字:網頁設計程式設計專案開發資訊安全

Google 周四釋出Chrome 79.0.3945.130,以減緩和Windows密碼元件漏洞造成的網釣攻擊風險,以及修補另外三項可讓駭客透過Chrome駭入電腦的漏洞。

 

Google Chrome新版本解決的第一項問題,和Windows CryptoAPI的CVE-2020-0601有關。它影響Windows中名為CryptoAPI 處理的加密元件,後者作用在讓開發人員為其軟體加入數位簽章以防被竄改。該漏洞可讓駭客發送惡意程式碼,以假憑證通過簽章驗證以冒充可信賴方的內容,包括檔案、電子郵件或網站,對終端用戶發送中間人(man-in-the-middle,MiTM)或網釣攻擊。該漏洞被列為「重要」風險(但非最高的「重大」),但因是由過去惡名昭彰的美國國安局(NSA)通報微軟而受人矚目。微軟已經在周二的Patch Tuesday中予以修補。

 

Chrome版79.0.3945.130 增加在Chrome用戶連入網站前,驗證網站憑證完整性的能力。Google開發人員Ryan Sleevi指出,新版Chrome尚不完美,但在用戶安裝Windows修補程式前已足以提供保護。BleepingComputer測試顯示,在未安裝修補程式的Windows 10 電腦上,若先升級到Chrome 79.0.3945.130,用戶再連上研究人員設立的假網站時,Chrome就會警告連線不安全,攻擊者可能從網站上試圖竊取用戶資訊。

 

這項功能來得正是時候,因為一名安全研究人員已經在漏洞及修補程式發佈不到24小時內,公開概念驗證攻擊,利用假的TLS憑證冒充NSA及GitHub網站,並騙過數個瀏覽器,包括Chrome、IE的檢查而放行用戶造訪。

 

除了CryptoAPI的相關驗證不足問題外,新版Chrome 79還另外修補了三項漏洞,其中CVE-2020-6378及CVE-2020-6379可讓駭客誘騙用戶連上惡意網站,觸發UAF(Use-After-Free)錯誤而執行惡意程式碼。CVE-2020-63-80則出在外掛程式處理元件的驗證不足,用戶若不慎下載惡意外掛,將可能遭駭入系統。其中CVE-2020-6378屬風險等級最高的「重大」漏洞,其餘則為「高度」風險。

 

安全公司Kudelski Security指出,除了Firefox,Chromium-based的瀏覽器和舊IE都受影響。微軟方面沒提出官方說明。但安全部落Swift on Security指稱,微軟昨日公開釋出的新版Chromium-based Edge也能提供防護。

你可能有興趣的作品案例
傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策

線上詢價