現時瀏覽器市場由Google Chrome所主導,因此如果該瀏覽器上出現安全漏洞,影響力非同小可。近日Google就發放了該瀏覽器的緊急更新,以堵塞當中的三個安全漏洞。
嚴重和高危級別的安全漏洞
涉事的三個安全漏洞包括CVE-2021-37974、CVE-2021-37975和CVE-2021-37976,分別被評級為嚴重和高危級別,根據Google公開的資料,網絡犯罪份子已經利用其中的2個安全漏洞,因此建議所有Chrome用戶立即更新瀏覽器至94.0.4606.71版本,有關的漏洞也會影響到其他使用Chromium引擎的瀏覽器,而Microsoft也建議Edge用戶更新瀏覽器至94.0.992.38版本。
安全漏洞的危險
CVE-2021-37974和CVE-2021-37975是Use-after-free (UAF)類型漏洞,最終能夠在目標電腦上執行任意代碼,當中CVE-2021-37974與Safe Browsing元件有關,可以警告用戶不安全的網站和下載的副系統。而CVE-2021-37975在V8 JavaScript引擎中發現,它是3個安全漏洞之中最危險的一個,不知名的人士已在使用此安全漏洞攻擊Chrome用戶,而CVE-2021-37976也已經被犯罪份子使用。
漏洞的攻擊方法
要使用全部3個安全漏洞,攻擊者就需要建立一個惡意網頁,然後遊說受害者前往該網站,透過利用2個use-after-free安全漏洞,攻擊者可以在未補丁的Chrome用戶瀏覽網頁時執行任意代碼,這可導致系統遭入侵,而CVE-2021-37976則讓攻擊者能取得受害者的登入帳號資料。
保持安全
保持安全的第一步就是更新所有裝置上的瀏覽器,很多時會在瀏覽器重新開始時自動更新,但部份用戶有長時間不重開電腦的習慣,結果令他們的瀏覽器維持長時間的漏洞狀態,無論如何,我們都建議檢查Chrome的版本。
想有額外的保護的話,用戶也可以在連線互聯網的裝置上安裝可靠的保安方案,這樣即使無法把瀏覽器更新到最新版本,主動防護技術也能把漏洞被成功利用的機會降至最低。
資料來源:Kaspersky blog
