新聞網址：https://www.ithome.com.tw/news/159044
新聞標題：Google再緊急修補Chrome零時差漏洞

基礎知識

瀏覽器

• 定義

  • 瀏覽網頁的軟體

• 範例

  • Chrome

漏洞

• 定義

  • 指程式碼中的錯誤，可能被惡意的攻擊者利用

風險等級

• 定義

  • 對漏洞可能造成的損害程度的評估

• 範例

  • 低、中、高風險

CVE

• 定義

  • 已知漏洞資料庫

• 範例

  • CVE-2023-5217

heap buffer overflow

堆積型緩衝溢位

• 定義

  • 資料寫入超過其在記憶體中分配的空間時，可能會發生的安全漏洞。

VP8 編碼

• 定義

  • 影片壓縮格式，用於編碼和解碼影片資料

libvpx

• 定義

  • 用於編碼和解碼 VP8 與 VP9 影片格式的開源函式庫

0-day

• 定義

  • 尚未被開發者或廠商發現時，已被攻擊者挖掘並且拿來利用

使用已釋放記憶體漏洞

• 定義

  • 程式嘗試存取已被釋放的記憶體，可能導致程式 Crush 或不穩定

商業間諜軟體開發商

• 定義

  • 專業地開發和銷售間諜軟體或其他監控工具給客戶的公司或組織

事件整理

緊急釋出

• Chrome

  • 桌機版

  • 117.0.5938.132

• 10 項安全漏洞

• Windows、Mac 和 Linux 平臺

主要漏洞

• CVE-2023-5217

  • VP8 編碼函式庫 libvpx

    • Google

    • Open Media

  • 堆積型緩衝溢位漏洞

  • 程式崩潰

  • 任意程式碼執行

• CVE-2023-5186、CVE-2023-5187

  • 元件

    • Passwords

    • Extensions

  • 使用已釋放記憶體漏洞

  • 攻擊者引誘使用者點擊惡意連結或下載惡意外掛

  • 導致資料流失或系統故障

發現與通報

• CVE-2023-5217

  • Google 的威脅分析小組研究人員

    • Clément Lecigne

  • 發現後的 2 天內得到修補

• 30 家業者出售商業性的間諜監控軟體

  • 政府支持的單位

  • iOS、Android及Chrome

  • 0-day、n-day

  • 以監控異議份子或記者

小試身手

Google釋出的Chrome安全更新主要是為了修補多少個漏洞？

• A. 3個

• B. 5個

• C. 10個

• D. 30個

• 答案

  • C. 10個

CVE-2023-5217的漏洞是

位於哪個編碼函式庫中

• A. libpng

• B. libvpx

• C. libjpeg

• D. zlib

• 答案

  • B. libvpx

堆積型緩衝溢位漏洞可能會引起什麼？

• A. 程式的快速執行

• B. 任意程式碼執行

• C. 網路速度提升

• D. 擴充功能失效

• 答案

  • B. 任意程式碼執行

什麼是 0-day 漏洞

• A. 一種在被廠商發現前已被修補的漏洞

• B. 一種在被廠商發現前已被攻擊者利用的漏洞

• C. 一種僅在0天內存在的漏洞

• D. 一種由零組件引起的漏洞

• 答案

  • B. 一種在被廠商發現前已被攻擊者利用的漏洞

攻擊者利用使用已釋放記憶體的漏洞，可能誘使用戶做什麼

• A. 更新他們的瀏覽器

• B. 下載外掛

• C. 查看廣告

• D. 註冊新帳戶

• 答案

  • B. 下載外掛