Google Chrome新版本可防止Windows CryptoAPI驗證漏洞攻擊 文/林妍溱 | 2020-01-17發表 Google 周四釋出Chrome 79.0.3945.130，以減緩和Windows密碼元件漏洞造成的網釣攻擊 風險，以及修補另外三項可讓駭客透過Chrome駭入電腦的漏洞。 Google Chrome新版本解決的第一項問題，和Windows CryptoAPI的CVE-2020-0601有關。 它影響Windows中名為CryptoAPI 處理的加密元件，後者作用在讓開發人員為其軟體加入 數位簽章以防被竄改。該漏洞可讓駭客發送惡意程式碼，以假憑證通過簽章驗證以冒充可 信賴方的內容，包括檔案、電子郵件或網站，對終端用戶發送中間人（ man-in-the-middle，MiTM）或網釣攻擊。該漏洞被列為「重要」風險（但非最高的「重 大」），但因是由過去惡名昭彰的美國國安局（NSA）通報微軟而受人矚目。微軟已經在 周二的Patch Tuesday中予以修補。 Chrome版79.0.3945.130 增加在Chrome用戶連入網站前，驗證網站憑證完整性的能力。 Google開發人員Ryan Sleevi指出，新版Chrome尚不完美，但在用戶安裝Windows修補程式 前已足以提供保護。BleepingComputer測試顯示，在未安裝修補程式的Windows 10 電腦 上，若先升級到Chrome 79.0.3945.130，用戶再連上研究人員設立的假網站時，Chrome就 會警告連線不安全，攻擊者可能從網站上試圖竊取用戶資訊。 這項功能來得正是時候，因為一名安全研究人員已經在漏洞及修補程式發佈不到24小時內 ，公開概念驗證攻擊，利用假的TLS憑證冒充NSA及GitHub網站，並騙過數個瀏覽器，包括 Chrome、IE的檢查而放行用戶造訪。 除了CryptoAPI的相關驗證不足問題外，新版Chrome 79還另外修補了三項漏洞，其中 CVE-2020-6378及CVE-2020-6379可讓駭客誘騙用戶連上惡意網站，觸發UAF（ Use-After-Free）錯誤而執行惡意程式碼。CVE-2020-63-80則出在外掛程式處理元件的驗 證不足，用戶若不慎下載惡意外掛，將可能遭駭入系統。其中CVE-2020-6378屬風險等級 最高的「重大」漏洞，其餘則為「高度」風險。 安全公司Kudelski Security指出，除了Firefox，Chromium-based的瀏覽器和舊IE都受影 響。微軟方面沒提出官方說明。但安全部落Swift on Security指稱，微軟昨日公開釋出 的新版Chromium-based Edge也能提供防護。 https://www.ithome.com.tw/news/135418 所以FF沒這個問題?還是FF早就已經修補這個漏洞了? -- -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1579284182.A.B3C.html ※ 編輯: hn9480412 (122.116.4.227 臺灣), 01/18/2020 02:04:35