根据大数据统计,国内有85%的浏览器是基于Google公司的 Chromium开源项目进行二次开发而来,包括著名的某安全浏览器,某双核浏览器等等,但在近日Google 发布Chrome 网络浏览器安全更新,包含针对重大安全漏洞的修补程式。但因不希望邪恶黑客利用漏洞发动攻击,因此除了表示漏洞涉及 [语音辨识模组『使用释放后记忆体』(Use-After-Free,UAF)漏洞],就没有透露更多细节。
多亏安全方案商Sophos 旗下安全研究员Paul Ducklin 的贴文,让我们对适用Windows、Mac 及Linux 使用者的Chrome 81.0.4044.113 版安全修补有更充分的了解,同时了解为什么需要及应该如何检查以确保获得安全更新的理由与方法。
据Ducklin 在Sophos 消费者部落格NakedSecurity 的贴文指出,Chrome 的漏洞可能会让攻击者规避「任何浏览器的例行性安全检查或『确认』对话框」。就像许多「使用释放后记忆体」漏洞,可能「允许攻击者更改程式内部的控制流(Control Flow),包括让CPU 转而运行攻击者从外部植入记忆体的不受信任程式码。」 Ducklin 表示。
所谓「使用释放后记忆体」漏洞是指,应用程式继续使用运行中记忆体或RAM 的区块,即使程式已将这些区块「释放」给其他应用程式使用却继续使用的漏洞。恶意应用程式之所以可利用这个错误发动恶意攻击,是因为能透过捕获这些释放的记忆体区块,诱骗应用程式执行不应该做的事。
由于Google 将此漏洞评定为「重大级」,所以很可能具备远端执行程式码的能力,Ducklin 表示,这意味着恶意攻击者可「在没有任何安全警示的情况下,远端在你的电脑执行程式码,即使在世界的另一端也能办到。」 Google 表示Chrome 81.0.4044.113 版「将在未来几天/几周推出」,并为许多桌机使用者自动更新。但Ducklin 建议手动更新,以防万一。
透过「关于Google Chrome」选项自动或手动完成安全更新,请在浏览器的工具列找到「关于Google Chrome」浏览器选项,通常在画面右上角垂直堆叠排列的3 个点的图示里找到。如果有安全更新等待着你点取执行,原本灰白色的3 个点会以不同颜色呈现。
绿色表示发布快两天的Chrome 更新等着你执行,橘色表示更新已发布约4 天之久,红色表示更新至少一星期前就发布了。一旦灰白色的3 个点出现其他颜色时,请单击图示,然后在下拉视窗点取「说明」,然后在弹出视窗点取「关于Google Chrome」选项。一进入「关于Google Chrome」页面时,Chrome 浏览器将自动开始检查更新,并显示目前执行的浏览器版本。
接着请更新到Chrome 81.0.4044.113 版或更新版。如果不想自动更新,在「关于Google Chrome」页面应该会提示使用者更新。使用者可能需要重新启动浏览器以执行修补程式。不论如何,对一般使用者来说,不妨考虑启用装置的自动更新功能。如此一来,每当Google 发布最新修补程式时,便不需要手动执行行更新,以免错过安全更新时机,徒增不必要的安全风险。