Chrome 在 9月2日時,針對 Windows, Mac, Linux 系統上的chrome用戶,緊急發佈了今年的第六次漏洞修補版本更新 (Chrome 105.0.5195.102)。
Chrome 本次修補的漏洞為編號 CVE-2022-3075 的高風險漏洞,在多數用戶完成版本更新前,Chrome 表示無法公開與此漏洞相關的細節;目前只說明此漏洞,由一名匿名使用者發現並回報。漏洞內容與Chrome內部進行行程驗通訊 (inter-process communication) 所使用的 Mojo 資訊驗證不足 (insufficient data validation) 有關。請 Chrome 用戶即刻對瀏覽器進行版本更新。
除了漏洞 CVE-2022-3075 之外,在 8 月 底時,也有一名為 Jeff Johnson 的開發者,回報針對 Chrome, Apple Safari, Mozilla Firefox 等瀏覽器的使用「用戶手勢」的剪貼板漏洞。在此處,用戶手勢為使用 control + C 或 cmd + C 或是透過右鍵選單中的「複製」進行文字複製的動作。 Jeff Johnson 發現,許多在網頁上的許多 DOM 行為,例如:以上下鍵控制網頁滑桿、或是點擊網頁內容等等,皆可使網頁被允許透過 clipboard API 存取並更改用戶剪貼板中的內容。此漏洞的潛在威脅為惡意移除對用戶來說重要的剪貼板資料;或是將其更改為惡意的威脅程式,使用戶在不經意中執行。
根據 Jeff Johnson 的回報,目前google 已經了解到此漏洞的細節,然而卻尚未發佈任何相關的修補說明。
雖然許多用戶對於 Chrome 近期頻繁公佈的漏洞產生質疑,但是 Microsoft Defender 近日的更新卻表示若「Microsoft Defender 近日對用戶使用設備中的 Chrome或是 Electron 軟體發出可疑的警告,請用戶不用擔心,此現象極有可能是錯誤的警告 (false positive)。」
Microsoft Defender 版本 1.373.1508.0 前次更新內容包括偵測並警告用戶潛在的兩個攻擊行為: Win 32 和 Hive.ZY。然而,此版本卻意外也對於 Google Chrome, Microsoft Edge, Discord, and other Electron apps 發出錯誤的警告。對此,Microsoft 也再次提出了新的版本更新至 1.373.1537.0 (或更新) ,希望排除此錯誤的偵測行為。
也請使用者更新 Microsoft Defender 的版本,以免造成誤會。
參考資料
Google Chrome emergency update fixes new zero-day used in attacks, bleepingcomputer (2 Sep 2022)- https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-new-zero-day-used-in-attacks/
Chrome release, Google blog (2 Sep 2022)- https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop.html
web page can overwrite your system clipboard without your knowledge, lapcatsoftware (28 Aug 2022)- http://lapcatsoftware.com/articles/clipboard.html
google chrome vulnerability lets sites quietly overwrite clipboard contents, infosecurity (2 Sep 2022)- https://www.infosecurity-magazine.com/news/google-chrome-bug-sites-overwrite/
Microsoft Defender falsely detects Win32/Hive.ZY in Google Chrome, Electron apps, bleepingcomputer (4 Sep 2022)- https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-falsely-detects-win32-hivezy-in-google-chrome-electron-apps/