Google 修補被商業間諜軟體廠商利用的零日漏洞

Google 修補商業間諜軟體利用的零日漏洞

Google 緊急修補了 Chrome 的一個零日漏洞，該漏洞被一個商業間諜軟體供應商利用。這個漏洞在兩天前被 Google 的威脅分析小組（TAG）的 Clement Lecigne 報告給了 Chrome 團隊，在修補程式發布之前僅僅兩天時間。Google 表示他們知道該漏洞的利用程式存在於野外，並將其追蹤為 CVE-2023-5217，並描述為“libvpx 中 vp8 編碼的堆緩衝區溢位”。Google 的建議並未提供有關利用該零日漏洞的進一步訊息。“直到大多數使用者更新修補程式後，我們將保留對漏洞詳細訊息和連結的約束，”該公司表示。Google 的 TAG 未立即回覆 TechCrunch 的問題，但 TAG 的研究員 Maddie Stone 在 Twitter 上的一篇文章中表示 Chrome 的漏洞被利用來安裝間諜軟體。

這個漏洞在 Google Chrome 117.0.5938.132 中修補，現在正在向 Windows、Mac 和 Linux 使用者在穩定桌面頻道上推出。就在上週，Google 的 TAG 透露，蘋果最近修補的三個零日漏洞是為了阻止將 Predator 間諜軟體安裝在一個埃及總統候選人的手機上的攻擊。Predator 是由爭議性的商業間諜軟體供應商 Cytrox 開發的一款間諜軟體，一旦安裝，可以竊取受害者手機的內容。Chrome 的緊急修補釋出僅僅是在幾週前，Google 修補了另一個正在被積極利用的零日漏洞，該漏洞最初被蘋果的安全工程與架構（SEAR）團隊和多倫多大學的數位權利組織 Citizen Lab 發現，Citizen Lab 已經調查間諜軟體超過十年。該漏洞最初被錯誤地認定為 Chrome 的漏洞，但 Google 已將其歸類為用於編碼和解碼 WebP 格式影象的開源 libwebp 庫。這種重新分類對於使用 libwebp 的眾多和受歡迎的應用程式有重大影響，包括 1Password、Firefox、Microsoft Edge、Safari 和 Signal。安全研究人員將這個漏洞與被給予最高 10/10 嚴重性等級的零點選 iMessage 利用鏈 BLASTPASS 聯絡在一起，該利用鏈被用於在受感染的 iPhone 上部署 NSO Group 的 Pegasus 間諜軟體。

商業間諜軟體的威脅

商業間諜軟體的出現和利用漏洞的能力對於數位安全和隱私保護帶來了嚴重衝擊。這些軟體可以在未經使用者許可的情況下進入其裝置並竊取敏感訊息，對個人隱私和企業機密造成嚴重威脅。商業間諜軟體供應商的目的通常是出售這些軟體給政府或其他利益相關方，他們可能使用這些軟體來進行監視、間諜以及其他非法活動。

在面對商業間諜軟體的挑戰時，廠商和開發者們應該加固軟體安全性的努力。這包括定期的漏洞修補程式和迅速回應正在被利用的零日漏洞。同時終端使用者應該保持軟體和系統的最新更新，以確保他們的裝置免受可能的攻擊。

安全合作的重要性

這個故事還凸顯了安全合作的重要性。在這一情況下，Google 的威脅分析小組（TAG）和 Citizen Lab 合作發現和修補了被利用的零日漏洞。只有透過合作，不同的組織和團隊才能有效地檢測和應對新出現的威脅。同時大型科技公司和數位權利組織之間的合作也非常重要，以保護使用者的數位權利和隱私。

向終端使用者發出的建議

作為終端使用者，我們可以採取以下措施來保護自己的裝置和資料：

1. 定期更新軟體和系統：確保系統和應用程式保持最新狀態，以防止已知漏洞的利用。
2. 謹慎安裝應用程式：僅從可信任的來源下載和安裝應用程式，避免點選不明來源的連結或附件。
3. 使用安全存取：在公共 Wi-Fi 網路和其他不安全的網路上時，使用虛擬私人網路（VPN）可以加密存取，保護敏感資料。
4. 謹慎對待不明簡訊和電子郵件：不要點選來自不明來源的連結，不要下載不信任的附件。
5. 安裝安全防護軟體：安裝一個可靠的安全防護軟體，可以有效檢測和清除潛在威脅。

商業間諜軟體帶來的威脅：

商業間諜軟體對於個人隱私和企業機密帶來了嚴重威脅。這些軟體的出現和利用漏洞的能力顯示了數位安全和隱私保護的重要性。

安全合作的重要性：

這個故事凸顯了不同組織和團隊合作的重要性，以有效檢測和應對新的威脅。

向終端使用者的建議：

作為終端使用者，我們可以採取一些措施來保護自己的裝置和資料，包括定期更新軟體和系統，謹慎安裝應用程式，使用安全存取，謹慎對待不明簡訊和電子郵件，安裝安全防護軟體。

延伸閱讀

• 震撼收購：Google 豪擲重金併購 Wiz，一週回顧
• Google 提議放寬 AI 政策中的版權與出口規則，引發爭議！
• Google 推出 SpeciesNet：專為識別野生動物而設的人工智慧模型！
• Google 升級 Colab！全新 AI 代理工具助你提升生產力！
• Google 大幅簡化個人資訊刪除流程，搜尋結果隱私守護新上線！
• 「Glance 推出 AI 驅動購物體驗，獲 Google 新一輪資金支援！」
• Google 推出免費 AI 程式設計助手，使用約束超乎想像！
• 「Chegg 控告 Google！AI 搜尋摘要引發的科技法律戰」
• Google 推出新 AI 影片模型 Veo 2，每秒僅需 50 美分，讓創作成本大幅降低！
• 「Google 推出全新圖片混搭工具 Whisk，全球超過百國同步上線！」