有片有真相,網絡安全專家利用近日在黑客大會 Pwn2Own 2021 上的發現,製成模擬攻擊驗證並於社交平台公開,由於 Google Chrome、Microsoft Edge 零日漏洞 未被修復,有可能被黑客利用,通過網民電腦內的Chrome及Edge瀏覽器遙距執行惡意程式!點算好?
按此看:十萬個為什麼? Windows 10已知漏洞存在半年仍懶理
黑客大會揭露 零日漏洞
網絡安全研究員 Rajvardhan Agarwal 剛在個人 Twitter 放出一個PoC(Proof of Concept),內容是利用以 Chromium 為基礎的瀏覽器的 零日漏洞 (Zero Day Vulnerability),可讓黑客遙距於 Google Chrome 及 Microsoft Edge 上執行編碼,示範時就打開了 Windows 計算機,證明該漏洞的確可被利用。事實上,這個漏洞相信與剛結束的黑客大會 Pwn2Own 2021 有關,當時 Dataflow Security參賽者 Bruno Keith 及 Niklas Baumstark 相信便利用這個 Chromium-based 瀏覽器仍然存在的 V8 JavaScript 引擎漏洞,成功破解 Google Chrome 及 Microsoft Edge。
按此看:Firefox 86獨立曲奇罐 阻止cookies跨網站追蹤用戶
由於這個 零日漏洞 仍未被兩間公司堵塞,在此時此刻公開詳情似乎頗為魯莽,因為不知道會有多少人因而受害。不過,現階段 Google Chrome 及 Microsoft Edge 用戶仍不用擔心,因為單獨依靠這個漏洞仍未可行。專家解釋,因為 Chromium-based 瀏覽器預設啟動了安全沙盒(sandbox)功能,除非電腦已受其他病毒感染並關閉了沙盒,否則瀏覽網頁時觸發的程式編碼,仍只能夠在沙盒內執行,無法跳出沙盒與 Windows 或其他作業系統互動。不過,現階段未成威脅不代表沒有風險,為安全起見,用戶最好啟動自動更新功能,便能第一時間取得安全更新,減少被入侵的風險。
