影响恐超过10亿用户 Chrome/Edge浏览器爆出零日漏洞

最新会影响多个浏览器的零日漏洞被发现,Chrome、Edge、Opera 等浏览器的用户恐都受到影响。(黄慧雯制)

你是 Chrome、Edge 或是 Opera 等网路浏览器的使用者吗?网路安全研究发现基于 Chromium 的浏览器,也就是 Chrome、Opera和 Edge 当中发现最新的零日漏洞(或称零时差漏洞,zero-day vulnerability),是还没有安全修补程式的漏洞。由于 Chrome 是全球市占最高的浏览器,且此漏洞影响多个 Chrome 版本,用户一定要尽速更新,保护设备的安全。

PerimeterX 网路安全研究人员 Gal Weizman 在 Windows、Mac 以及 Android 基于 Chromium 的浏览器中,也就是 Chrome、Edge 以及 Opera 中都发现了一个被命名为 CVE-2020-6519 的零日漏洞。这一个漏洞让骇客可以绕过 Chrome 73(2019年3月) 至 Chrome 83 之间的 CSP(Content Security Policies)规则。由于 Chrome 全球拥有超过 20 亿用户,影响范围恐超过 10 亿人以上。

CSP 是网站所有者用来强制执行数据安全策略以防止网站被执行恶意 Shadow Code 的主要方法。而上述被发现的零日漏洞,就是可以绕过 CSP 来强制执行。当此情况发生,使用者的个人数据可能会受到威胁。而不仅常见的浏览器使用了 CSP,也有多个知名网站也都容易受到此可绕过 CSP 并执行恶意脚本的零日漏洞所影响,包含 Facebook、Zoom、Gmail、WhatsApp、TikTok、Instagram、Blogger和Quora等网站在内。

由于此漏洞影响 Chrome 84 之前的版本,建议使用者要尽速升级到 Chrome 84 以后或者更高的版本,以防止受到攻击。由于这个漏洞已经存在一年多,很可能在接下来会陆续爆发因此漏洞而引发的大量数据泄漏事件,还请上网民众留意。也建议网站拥有者需要加强防护,以防受到影响。