Google 上周发布 Chrome 网络浏览器安全更新,包含针对重大安全漏洞的修补程式。但因不希望邪恶骇客利用漏洞发动攻击,因此除了表示漏洞涉及“语音辨识模组‘使用释放后内存’(Use-After-Free,UAF)漏洞”,就没有透露更多细节。
多亏安全方案商 Sophos 旗下安全研究员 Paul Ducklin 的贴文,让我们对适用 Windows、Mac 及 Linux 使用者的 Chrome 81.0.4044.113 版安全修补有更充分的了解,同时了解为什么需要及应该如何检查以确保获得安全更新的理由与方法。
据 Ducklin 在 Sophos 消费者部落格 NakedSecurity 的贴文指出,Chrome 的漏洞可能会让攻击者规避“任何浏览器的例行性安全检查或‘确认’对话框”。就像许多“使用释放后内存”漏洞,可能“允许攻击者更改程式内部的控制流(Control Flow),包括让 CPU 转而运行攻击者从外部植入内存的不受信任程式码。”Ducklin 表示。
所谓“使用释放后内存”漏洞是指,应用程序继续使用运行中内存或 RAM 的区块,即使程式已将这些区块“释放”给其他应用程序使用却继续使用的漏洞。恶意应用程序之所以可利用这个错误发动恶意攻击,是因为能透过捕获这些释放的内存区块,诱骗应用程序执行不应该做的事。
由于 Google 将此漏洞评定为“重大级”,所以很可能具备远端执行程式码的能力,Ducklin 表示,这意味着恶意攻击者可“在没有任何安全警示的情况下,远端在你的电脑执行程式码,即使在世界的另一端也能办到。” Google 表示 Chrome 81.0.4044.113 版“将在未来几天/几周推出”,并为许多桌机使用者自动更新。但 Ducklin 建议手动更新,以防万一。
透过“关于 Google Chrome”选项自动或手动完成安全更新
请在浏览器的工具列找到“关于 Google Chrome”浏览器选项,通常在画面右上角垂直堆叠排列的 3 个点的图示里找到。如果有安全更新等待着你点取执行,原本灰白色的 3 个点会以不同颜色呈现。
绿色表示发布快两天的 Chrome 更新等着你执行,橘色表示更新已发布约 4 天之久,红色表示更新至少一星期前就发布了。 一旦灰白色的 3 个点出现其他颜色时,请单击图示,然后在下拉视窗点取“说明”,然后在弹出视窗点取“关于 Google Chrome”选项。 一进入“关于 Google Chrome”页面时,Chrome 浏览器将自动开始检查更新,并显示目前执行的浏览器版本。
接着请更新到 Chrome 81.0.4044.113 版或更新版。如果使用者不想自动更新,“关于 Google Chrome”页面应该会提示使用者更新。使用者可能需要重新启动浏览器以执行修补程式。不论如何,对一般使用者来说,不妨考虑启用装置的自动更新功能。如此一来,每当 Google 发布最新修补程式时,便不需要手动执行行更新,以免错过安全更新时机,徒增不必要的安全风险。
- Google Chrome security alert impacts billions: What to do now
(首图来源:科技新报截图)
