Google Chrome

根據大數(shù)據統(tǒng)計，國內有85%的瀏覽器是基于Google公司的 Chromium開源項目進行二次開發(fā)而來，包括著名的某安全瀏覽器，某雙核瀏覽器等等，但在近日Google 發(fā)布Chrome 網絡瀏覽器安全更新，包含針對重大安全漏洞的修補程式。但因不希望邪惡黑客利用漏洞發(fā)動攻擊，因此除了表示漏洞涉及 [語音辨識模組『使用釋放后記憶體』(Use-After-Free，UAF)漏洞]，就沒有透露更多細節(jié)。

多虧安全方案商Sophos 旗下安全研究員Paul Ducklin 的貼文，讓我們對適用Windows、Mac 及Linux 使用者的Chrome 81.0.4044.113 版安全修補有更充分的了解，同時了解為什么需要及應該如何檢查以確保獲得安全更新的理由與方法。

據Ducklin 在Sophos 消費者部落格NakedSecurity 的貼文指出，Chrome 的漏洞可能會讓攻擊者規(guī)避「任何瀏覽器的例行性安全檢查或『確認』對話框」。就像許多「使用釋放后記憶體」漏洞，可能「允許攻擊者更改程式內部的控制流(Control Flow)，包括讓CPU 轉而運行攻擊者從外部植入記憶體的不受信任程式碼。」 Ducklin 表示。

所謂「使用釋放后記憶體」漏洞是指，應用程式繼續(xù)使用運行中記憶體或RAM 的區(qū)塊，即使程式已將這些區(qū)塊「釋放」給其他應用程式使用卻繼續(xù)使用的漏洞。惡意應用程式之所以可利用這個錯誤發(fā)動惡意攻擊，是因為能透過捕獲這些釋放的記憶體區(qū)塊，誘騙應用程式執(zhí)行不應該做的事。

由于Google 將此漏洞評定為「重大級」，所以很可能具備遠端執(zhí)行程式碼的能力，Ducklin 表示，這意味著惡意攻擊者可「在沒有任何安全警示的情況下，遠端在你的電腦執(zhí)行程式碼，即使在世界的另一端也能辦到。」 Google 表示Chrome 81.0.4044.113 版「將在未來幾天/幾周推出」，并為許多桌機使用者自動更新。但Ducklin 建議手動更新，以防萬一。

透過「關于Google Chrome」選項自動或手動完成安全更新，請在瀏覽器的工具列找到「關于Google Chrome」瀏覽器選項，通常在畫面右上角垂直堆疊排列的3 個點的圖示里找到。如果有安全更新等待著你點取執(zhí)行，原本灰白色的3 個點會以不同顏色呈現(xiàn)。

綠色表示發(fā)布快兩天的Chrome 更新等著你執(zhí)行，橘色表示更新已發(fā)布約4 天之久，紅色表示更新至少一星期前就發(fā)布了。一旦灰白色的3 個點出現(xiàn)其他顏色時，請單擊圖示，然后在下拉視窗點取「說明」，然后在彈出視窗點取「關于Google Chrome」選項。一進入「關于Google Chrome」頁面時，Chrome 瀏覽器將自動開始檢查更新，并顯示目前執(zhí)行的瀏覽器版本。

接著請更新到Chrome 81.0.4044.113 版或更新版。如果不想自動更新，在「關于Google Chrome」頁面應該會提示使用者更新。使用者可能需要重新啟動瀏覽器以執(zhí)行修補程式。不論如何，對一般使用者來說，不妨考慮啟用裝置的自動更新功能。如此一來，每當Google 發(fā)布最新修補程式時，便不需要手動執(zhí)行行更新，以免錯過安全更新時機，徒增不必要的安全風險。