總部位於美國的網路資安公司PerimeterX一名研究人員Gal Weizman日前指出,Google Chrome瀏覽器73版、83版皆存有一個零日漏洞(Zero day vulnerability),讓駭客有機會從Facebook、Gmail等網站竊取用戶個資。雖然目前尚未傳出有駭客藉此發動惡意攻擊事件,但Google建議,用戶應盡快手動更新至84或以上版本。
Gal Weizman表示,該漏洞編號為「CVE-2020-6519」,存在於Google去年3月發布的Chrome 73版、今年發布的Chrome 83版,迄今已歷時約一年半。雖然Google已於7月發布Chrome 84版進行更新,並針對「CVE-2020-6519」零日漏洞釋出修復補丁,但目前仍有許多用戶使用的Chrome瀏覽器仍停留在較舊版本。
Gal Weizman指出,該漏洞會允許駭客繞過Facebook、Gmail、Instagram、TikTok、WhatsApp和Zoom等網站支援的CSP內容安全策略,可從遠端執行惡意程式代碼發動攻擊,進而竊取用戶在網站中的個人數據資料。
由於Chrome在全球的市占率高達65%,約有超過20億使用者,雖然目前主要的瀏覽器多採用自動更新,Gal Weizman仍建議使用者確認自己的Chrome是否已更新至84版。使用者可至瀏覽器頁面的設定選項中,點選「關於Chrome」進行手動快速更新。◇