Google Chrome新版本可防止Windows CryptoAPI驗證漏洞攻擊 [轉載於iThome]

Google 周四釋出Chrome 79.0.3945.130，以減緩和Windows密碼元件漏洞造成的網釣攻擊風險，以及修補另外三項可讓駭客透過Chrome駭入電腦的漏洞。

Google Chrome新版本解決的第一項問題，和Windows CryptoAPI的CVE-2020-0601有關。它影響Windows中名為CryptoAPI 處理的加密元件，後者作用在讓開發人員為其軟體加入數位簽章以防被竄改。該漏洞可讓駭客發送惡意程式碼，以假憑證通過簽章驗證以冒充可信賴方的內容，包括檔案、電子郵件或網站，對終端用戶發送中間人（man-in-the-middle，MiTM）或網釣攻擊。該漏洞被列為「重要」風險（但非最高的「重大」），但因是由過去惡名昭彰的美國國安局（NSA）通報微軟而受人矚目。微軟已經在周二的Patch Tuesday中予以修補。

Chrome版79.0.3945.130 增加在Chrome用戶連入網站前，驗證網站憑證完整性的能力。Google開發人員Ryan Sleevi指出，新版Chrome尚不完美，但在用戶安裝Windows修補程式前已足以提供保護。BleepingComputer測試顯示，在未安裝修補程式的Windows 10 電腦上，若先升級到Chrome 79.0.3945.130，用戶再連上研究人員設立的假網站時，Chrome就會警告連線不安全，攻擊者可能從網站上試圖竊取用戶資訊。

這項功能來得正是時候，因為一名安全研究人員已經在漏洞及修補程式發佈不到24小時內，公開概念驗證攻擊，利用假的TLS憑證冒充NSA及GitHub網站，並騙過數個瀏覽器，包括Chrome、IE的檢查而放行用戶造訪。

除了CryptoAPI的相關驗證不足問題外，新版Chrome 79還另外修補了三項漏洞，其中CVE-2020-6378及CVE-2020-6379可讓駭客誘騙用戶連上惡意網站，觸發UAF（Use-After-Free）錯誤而執行惡意程式碼。CVE-2020-63-80則出在外掛程式處理元件的驗證不足，用戶若不慎下載惡意外掛，將可能遭駭入系統。其中CVE-2020-6378屬風險等級最高的「重大」漏洞，其餘則為「高度」風險。

安全公司Kudelski Security指出，除了Firefox，Chromium-based的瀏覽器和舊IE都受影響。微軟方面沒提出官方說明。但安全部落Swift on Security指稱，微軟昨日公開釋出的新版Chromium-based Edge也能提供防護。