Google Chrome新版本可防止Windows CryptoAPI验证漏洞攻击

Google 周四释出Chrome 79.0.3945.130，以减缓和Windows密码元件漏洞造成的网钓攻击风险，以及修补另外三项可让骇客透过Chrome骇入电脑的漏洞。

Google Chrome新版本解决的第一项问题，和Windows CryptoAPI的CVE-2020-0601有关。它影响Windows中名为CryptoAPI 处理的加密元件，后者作用在让开发人员为其软件加入数位签章以防被窜改。该漏洞可让骇客发送恶意程式码，以假凭证通过签章验证以冒充可信赖方的内容，包括档案、电子邮件或网站，对终端用户发送中间人（man-in-the-middle，MiTM）或网钓攻击。该漏洞被列为“重要”风险（但非最高的“重大”），但因是由过去恶名昭彰的美国国安局（NSA）通报微软而受人瞩目。微软已经在周二的Patch Tuesday中予以修补。

Chrome版79.0.3945.130 增加在Chrome用户连入网站前，验证网站凭证完整性的能力。Google开发人员Ryan Sleevi指出，新版Chrome尚不完美，但在用户安装Windows修补程式前已足以提供保护。BleepingComputer测试显示，在未安装修补程式的Windows 10 电脑上，若先升级到Chrome 79.0.3945.130，用户再连上研究人员设立的假网站时，Chrome就会警告连线不安全，攻击者可能从网站上试图窃取用户资讯。

这项功能来得正是时候，因为一名安全研究人员已经在漏洞及修补程式发布不到24小时内，公开概念验证攻击，利用假的TLS凭证冒充NSA及GitHub网站，并骗过数个浏览器，包括Chrome、IE的检查而放行用户造访。

除了CryptoAPI的相关验证不足问题外，新版Chrome 79还另外修补了三项漏洞，其中CVE-2020-6378及CVE-2020-6379可让骇客诱骗用户连上恶意网站，触发UAF（Use-After-Free）错误而执行恶意程式码。CVE-2020-63-80则出在插件处理元件的验证不足，用户若不慎下载恶意外挂，将可能遭骇入系统。其中CVE-2020-6378属风险等级最高的“重大”漏洞，其余则为“高度”风险。

安全公司Kudelski Security指出，除了Firefox，Chromium-based的浏览器和旧IE都受影响。微软方面没提出官方说明。但安全部落Swift on Security指称，微软昨日公开释出的新版Chromium-based Edge也能提供防护。