影響恐超過10億用戶 Chrome/Edge瀏覽器爆出零日漏洞

最新會影響多個瀏覽器的零日漏洞被發現,Chrome、Edge、Opera 等瀏覽器的用戶恐都受到影響。(黃慧雯制)

你是 Chrome、Edge 或是 Opera 等網路瀏覽器的使用者嗎?網路安全研究發現基於 Chromium 的瀏覽器,也就是 Chrome、Opera和 Edge 當中發現最新的零日漏洞(或稱零時差漏洞,zero-day vulnerability),是還沒有安全修補程式的漏洞。由於 Chrome 是全球市佔最高的瀏覽器,且此漏洞影響多個 Chrome 版本,用戶一定要儘速更新,保護設備的安全。

PerimeterX 網路安全研究人員 Gal Weizman 在 Windows、Mac 以及 Android 基於 Chromium 的瀏覽器中,也就是 Chrome、Edge 以及 Opera 中都發現了一個被命名爲 CVE-2020-6519 的零日漏洞。這一個漏洞讓駭客可以繞過 Chrome 73(2019年3月) 至 Chrome 83 之間的 CSP(Content Security Policies)規則。由於 Chrome 全球擁有超過 20 億用戶,影響範圍恐超過 10 億人以上。

CSP 是網站所有者用來強制執行數據安全策略以防止網站被執行惡意 Shadow Code 的主要方法。而上述被發現的零日漏洞,就是可以繞過 CSP 來強制執行。當此情況發生,使用者的個人數據可能會受到威脅。而不僅常見的瀏覽器使用了 CSP,也有多個知名網站也都容易受到此可繞過 CSP 並執行惡意腳本的零日漏洞所影響,包含 Facebook、Zoom、Gmail、WhatsApp、TikTok、Instagram、Blogger和Quora等網站在內。

由於此漏洞影響 Chrome 84 之前的版本,建議使用者要儘速升級到 Chrome 84 以後或者更高的版本,以防止受到攻擊。由於這個漏洞已經存在一年多,很可能在接下來會陸續爆發因此漏洞而引發的大量數據泄漏事件,還請上網民衆留意。也建議網站擁有者需要加強防護,以防受到影響。