Google Chrome

根據(jù)大數(shù)據(jù)統(tǒng)計(jì)，國(guó)內(nèi)有85%的瀏覽器是基于Google公司的 Chromium開源項(xiàng)目進(jìn)行二次開發(fā)而來(lái)，包括著名的某安全瀏覽器，某雙核瀏覽器等等，但在近日Google 發(fā)布Chrome 網(wǎng)絡(luò)瀏覽器安全更新，包含針對(duì)重大安全漏洞的修補(bǔ)程式。但因不希望邪惡黑客利用漏洞發(fā)動(dòng)攻擊，因此除了表示漏洞涉及 [語(yǔ)音辨識(shí)模組『使用釋放后記憶體』(Use-After-Free，UAF)漏洞]，就沒有透露更多細(xì)節(jié)。

多虧安全方案商Sophos 旗下安全研究員Paul Ducklin 的貼文，讓我們對(duì)適用Windows、Mac 及Linux 使用者的Chrome 81.0.4044.113 版安全修補(bǔ)有更充分的了解，同時(shí)了解為什么需要及應(yīng)該如何檢查以確保獲得安全更新的理由與方法。

據(jù)Ducklin 在Sophos 消費(fèi)者部落格NakedSecurity 的貼文指出，Chrome 的漏洞可能會(huì)讓攻擊者規(guī)避「任何瀏覽器的例行性安全檢查或『確認(rèn)』對(duì)話框」。就像許多「使用釋放后記憶體」漏洞，可能「允許攻擊者更改程式內(nèi)部的控制流(Control Flow)，包括讓CPU 轉(zhuǎn)而運(yùn)行攻擊者從外部植入記憶體的不受信任程式碼?！?Ducklin 表示。

所謂「使用釋放后記憶體」漏洞是指，應(yīng)用程式繼續(xù)使用運(yùn)行中記憶體或RAM 的區(qū)塊，即使程式已將這些區(qū)塊「釋放」給其他應(yīng)用程式使用卻繼續(xù)使用的漏洞。惡意應(yīng)用程式之所以可利用這個(gè)錯(cuò)誤發(fā)動(dòng)惡意攻擊，是因?yàn)槟芡高^捕獲這些釋放的記憶體區(qū)塊，誘騙應(yīng)用程式執(zhí)行不應(yīng)該做的事。

由于Google 將此漏洞評(píng)定為「重大級(jí)」，所以很可能具備遠(yuǎn)端執(zhí)行程式碼的能力，Ducklin 表示，這意味著惡意攻擊者可「在沒有任何安全警示的情況下，遠(yuǎn)端在你的電腦執(zhí)行程式碼，即使在世界的另一端也能辦到?！?Google 表示Chrome 81.0.4044.113 版「將在未來(lái)幾天/幾周推出」，并為許多桌機(jī)使用者自動(dòng)更新。但Ducklin 建議手動(dòng)更新，以防萬(wàn)一。

透過「關(guān)于Google Chrome」選項(xiàng)自動(dòng)或手動(dòng)完成安全更新，請(qǐng)?jiān)跒g覽器的工具列找到「關(guān)于Google Chrome」瀏覽器選項(xiàng)，通常在畫面右上角垂直堆疊排列的3 個(gè)點(diǎn)的圖示里找到。如果有安全更新等待著你點(diǎn)取執(zhí)行，原本灰白色的3 個(gè)點(diǎn)會(huì)以不同顏色呈現(xiàn)。

綠色表示發(fā)布快兩天的Chrome 更新等著你執(zhí)行，橘色表示更新已發(fā)布約4 天之久，紅色表示更新至少一星期前就發(fā)布了。一旦灰白色的3 個(gè)點(diǎn)出現(xiàn)其他顏色時(shí)，請(qǐng)單擊圖示，然后在下拉視窗點(diǎn)取「說(shuō)明」，然后在彈出視窗點(diǎn)取「關(guān)于Google Chrome」選項(xiàng)。一進(jìn)入「關(guān)于Google Chrome」頁(yè)面時(shí)，Chrome 瀏覽器將自動(dòng)開始檢查更新，并顯示目前執(zhí)行的瀏覽器版本。

接著請(qǐng)更新到Chrome 81.0.4044.113 版或更新版。如果不想自動(dòng)更新，在「關(guān)于Google Chrome」頁(yè)面應(yīng)該會(huì)提示使用者更新。使用者可能需要重新啟動(dòng)瀏覽器以執(zhí)行修補(bǔ)程式。不論如何，對(duì)一般使用者來(lái)說(shuō)，不妨考慮啟用裝置的自動(dòng)更新功能。如此一來(lái)，每當(dāng)Google 發(fā)布最新修補(bǔ)程式時(shí)，便不需要手動(dòng)執(zhí)行行更新，以免錯(cuò)過安全更新時(shí)機(jī)，徒增不必要的安全風(fēng)險(xiǎn)。