作者kuro (2020 支持蔡总统)
看板Browsers
标题[新闻] Google工程师呼吁马上更新! Chrome爆零
时间Fri Mar 8 00:25:04 2019
Google 工程师呼吁马上更新!Chrome 爆零日大漏洞
2019-03-07 19:22 INSIDE
你的 Chrome 是最新版吗?赶快按下 Chrome 选单里的「关於 Google Chrome」,
最近更新於 2019 年3月初,
版本号是「72.0.3626.121」,如果不是,Chrome
应该会开始自动检查更新。
这次连 Google 的资安研究员都公开呼吁大家
「讲真的,快安装 Chrome 更新,
现在、马上。」
这次修补的是 Chrome
漏洞 CVE-2019-5786,据说这个零日漏洞(在软体方发
现并修补前,就遭滥用的漏洞)
已遭骇客发现并滥用。Google Chrome 官方部
落格并没有透露太多细节,只知道 CVE-2019-5786
是与档案读取器记忆体
(FileReader)
控管有关的漏洞,这是一个程式工具,让网站开发者设计给使
用者上传档案到某个网站的时候,弹出档案读取器来选择电脑中的档案。
然而
这个漏洞让攻击者可以获得更多权限,进行远端程式码执行 (Remote Code
Execution,RCE) 攻击。RCE
可以不经警告或对话视窗,就在背地里植入恶意
软体,可能网站逛着逛着就中招了。
最好的防范方法,就是
尽速更新 Chrome:「现在、马上。」
《原文刊登於合作媒体 INSIDE,联合新闻网获授权转载。》
https://udn.com/news/story/7088/3683914
--
https://i.imgur.com/Fk1YLV7.png
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.241.185.124
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1551975909.A.9D4.html
1F:推 ltyintw: 那种更新机制,我还不知道要如和不尽快更新.... 03/08 02:03
2F:→ Kagero: 有一堆缅怀过去坚持用旧版的人 强奸式更新根本动不到他们 03/08 07:31
3F:→ enjoyself: 拒当白老鼠~~ya~~~ 03/08 16:31
4F:推 shala: 上网的电脑里没有机密是要怕三小? 03/08 16:35
5F:→ Kreen: 可能可以拿到浏览器内的密码,或者帮你植入挖矿程式吧 03/08 20:09
6F:→ Kreen: 反正 Chrome 更新也没什麽损失,更新比较安心啦~ 03/08 20:09
7F:推 mstar: 四楼说法跟某马的「没有违法怕什麽监听」一样奇妙。 03/09 09:52
8F:→ sam613: 远端执行程式码很严重,还扯什麽机密zzz 03/09 11:46
9F:推 d86123: 7楼根本完全误解意思,真的要藏资料是不连网的,有连网的资 03/10 11:47
10F:→ d86123: 料都不是机密 03/10 11:47
11F:推 rockmanx52: 拿资料其实是小事 大问题就是挖矿还有被当殭屍的跳板 03/11 01:39
12F:推 eight0: RCE 影响的范围比偷资料还大,但这不表示偷资料是小事吧 03/11 13:40
13F:→ eight0: 「有连网的资料都不是机密」的想法也很糟糕,如果这个事件 03/11 13:41
14F:→ eight0: 发生在安卓就更严重了 03/11 13:42
15F:推 rockmanx52: 我是指相对而言... 03/13 08:16
16F:→ rockmanx52: 而且现在无论是OS或浏览器 个资流出的问题真的已经到 03/13 08:16
17F:→ rockmanx52: 前述的「有连网的都不是机密」的程度没错啊 03/13 08:17
18F:→ rockmanx52: 天知道这些开发者给国安单位留了多少前门? 03/13 08:17
19F:推 Kagero: 资料方面不就二分法 给美国政府或中国共产党 03/14 08:58
20F:→ Kagero: 不过比起资料被盗 挖矿和勒索比较麻烦 03/14 08:59
21F:→ APM99: 美国政府势必给吧 看那精美的cpu漏洞 十几年才被爆出来 03/15 11:26
22F:→ APM99: (还是美国自己被骇才被知道的) 03/15 11:26
23F:推 Kreen: 其实以你或大部分人的咖位美国政府或中国共产党是根本没兴 03/17 11:13
24F:→ Kreen: 趣的,对你或说你的电脑有兴趣的是挖矿、信用卡诈骗、肉机 03/17 11:14
25F:→ Kreen: 之类的应用。所以根本不用花时间无限上纲,确定有漏洞,透 03/17 11:14
26F:→ Kreen: 过更新修补就好了,耍一堆嘴皮子是要干嘛。 03/17 11:15
27F:推 choosin: 有连网都不是机密 是要人「为最糟作准备」 有连线的设备 03/19 14:56
28F:→ choosin: 更新是必须的 程式本就没有完美的 只是缺陷被发现跟修补 03/19 14:58
29F:→ choosin: 循环之下形成的动态完美 03/19 15:00
30F:→ Behave: 嘘某人,到处鼓吹小人物个资无用论真是不疑余力!夸张 04/03 19:47