作者enjoyself (阿)
看板Browsers
标题Re: [新闻] Google工程师呼吁马上更新! Chrome爆零
时间Tue May 14 04:03:43 2019
: Google 工程师呼吁马上更新!Chrome 爆零日大漏洞
:
: 2019-03-07 19:22 INSIDE
:
: 你的 Chrome 是最新版吗?赶快按下 Chrome 选单里的「关於 Google Chrome」,
: 最近更新於 2019 年3月初,版本号是「72.0.3626.121」,如果不是,Chrome
: 应该会开始自动检查更新。
:
: 这次修补的是 Chrome 漏洞 CVE-2019-5786,据说这个零日漏洞(在软体方发
: 现并修补前,就遭滥用的漏洞)已遭骇客发现并滥用。Google Chrome 官方部
: 落格并没有透露太多细节,只知道 CVE-2019-5786 是与档案读取器记忆体
2个月过去了,各位会因为这个漏洞,
努力去习惯新 chrome 那
巨丑的分页列吗???
而这个 --device-scale-factor=1 参数消失,
干~~~那字体更是好难调整,
先讲重点,
1.本人只是单纯提供资讯,只是单纯提供资讯,只是单纯提供资讯,
没有其他意图,没有其他意图,没有其他意图,
2.新闻没有提到的,
CVE-2019-5786 和 CVE-2019-0808 是一起运作的,
首先,先看个版上有趣的文章,
https://i.imgur.com/edFMD7t.jpg
可以看到,卖肝网页工程师满满的恨意
小的使用 IE6 的时间,比起其他 IE8、9、10、11 使用时间加起来还多,
参考一下小的2010的文章,就只是讲讲实话而已,
https://i.imgur.com/aokphfq.jpg
多年以後,对照一下,难怪啊,难怪啊,讲讲实话,
却能够成为本版嘘文第1名,这真是,
中华文化中的,
此恨绵绵无绝期
日本动漫中的,
https://i.imgur.com/mI1CiP3.jpg
好了,缅怀第1名结束,
进入主题,关於这个漏洞,
Mcafee 分析文章,英文,
https://bit.ly/2YpWPUW
翻译文章,中文
https://bit.ly/2HhHUq6
漏洞利用代码网址
https://github.com/exodusintel/CVE-2019-5786
google Security Blog
https://bit.ly/2HjbifQ
节录几个重点,
-----------------------------------------------------------------
即使攻击者在浏览器渲染进程中获得代码执行权限,
但是依然受到沙箱机制的限制。
https://i.imgur.com/5RPBuT7.jpg
-----------------------------------------------------------------
主要攻击 win7 x86
https://i.imgur.com/ZwG81wj.jpg
https://i.imgur.com/E2PQwlN.jpg
----------------------------------------------------------------
个人是觉得, CVE-2019-0808 不补,比较可怕,
因为它可以被用来躲避沙箱机制,提升权限,
新闻连写都不写,实在是齁~~~
还有,小的我只补到 2019-03,4月更新的是出包的,
https://i.imgur.com/8HEPUuv.jpg
这要讲清楚,避免害人家系统隔屁~~
最後结论,最近的 chrome 实在很丑,又很难整形,
继续等 cent 下一版看看,目前还是看梯形顺眼啊~~~
: (FileReader)控管有关的漏洞,这是一个程式工具,让网站开发者设计给使
: 用者上传档案到某个网站的时候,弹出档案读取器来选择电脑中的档案。
:
:
: 然而这个漏洞让攻击者可以获得更多权限,进行远端程式码执行 (Remote Code
: Execution,RCE) 攻击。RCE 可以不经警告或对话视窗,就在背地里植入恶意
: 软体,可能网站逛着逛着就中招了。
:
:
: 最好的防范方法,就是尽速更新 Chrome:「现在、马上。」
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.252.79.234
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1557777830.A.596.html
1F:推 pttjoe: 主要问题是,当 tab 数量超多的时候,新版圆弧形 tab 根本 05/14 07:46
2F:→ pttjoe: 全连在一起完全看不清楚,但旧版梯形 tab 依然看得很清楚 05/14 07:47
3F:→ pttjoe: 这就是我选择刻意不升级的主因 05/14 07:47
4F:推 kenwufederer: 不管甚麽原因,都不会是浏览器不升级的理由 05/14 09:30
5F:→ Wcw5504: 只想要矩形 梯形一样丑 05/14 10:49
6F:→ zhtw: cent目前可以改方形 还行 05/14 11:21
7F:→ aria0520: 分页多的情况下火狐几乎没有敌手 可自订性太高了 05/14 13:00
8F:→ whatisapity: 梯型更丑,跟Win10的UI风格完全不合 05/14 13:03
9F:→ whatisapity: *形 05/14 13:05
10F:→ aria0520: 多分页时火狐的UI表现应该是最漂亮的 05/14 13:06
11F:→ aria0520: about:config可自订最小分页宽度 然後左右滑动操作 05/14 13:06
12F:推 choosin: 分页多不管新旧Chrome等於没分页 等很小才要去除关闭钮 05/14 16:07
13F:→ choosin: 然後不管是以前的小锥还是现在的方签都0资讯秀爽的=.= 05/14 16:07
14F:→ aria0520: 真的 楼上超有同感 我就是因为这个才一直留在fx 05/14 17:32
15F:推 aza0290: 要不要改的问题而已 不知道Google在坚持什麽 05/14 20:37
16F:→ kouta: 很好看啊 丑? 05/15 04:05