: Google 工程师呼吁马上更新！Chrome 爆零日大漏洞 : : 2019-03-07 19:22 INSIDE : : 你的 Chrome 是最新版吗？赶快按下 Chrome 选单里的「关於 Google Chrome」， : 最近更新於 2019 年３月初，版本号是「72.0.3626.121」，如果不是，Chrome : 应该会开始自动检查更新。 : : 这次修补的是 Chrome 漏洞 CVE-2019-5786，据说这个零日漏洞（在软体方发 : 现并修补前，就遭滥用的漏洞）已遭骇客发现并滥用。Google Chrome 官方部 : 落格并没有透露太多细节，只知道 CVE-2019-5786 是与档案读取器记忆体 ２个月过去了，各位会因为这个漏洞， 努力去习惯新 chrome 那巨丑的分页列吗??? 而这个 --device-scale-factor=1 参数消失， 干~~~那字体更是好难调整， 先讲重点， 1.本人只是单纯提供资讯，只是单纯提供资讯，只是单纯提供资讯， 没有其他意图，没有其他意图，没有其他意图， 2.新闻没有提到的， CVE-2019-5786 和 CVE-2019-0808 是一起运作的， 首先，先看个版上有趣的文章， https://i.imgur.com/edFMD7t.jpg 可以看到，卖肝网页工程师满满的恨意 小的使用 IE6 的时间，比起其他　IE8、9、10、11 使用时间加起来还多， 参考一下小的2010的文章，就只是讲讲实话而已， https://i.imgur.com/aokphfq.jpg 多年以後，对照一下，难怪啊，难怪啊，讲讲实话， 却能够成为本版嘘文第１名，这真是， 中华文化中的，此恨绵绵无绝期 日本动漫中的，https://i.imgur.com/mI1CiP3.jpg 好了，缅怀第１名结束， 进入主题，关於这个漏洞， Mcafee 分析文章，英文， https://bit.ly/2YpWPUW 翻译文章，中文 https://bit.ly/2HhHUq6 漏洞利用代码网址 https://github.com/exodusintel/CVE-2019-5786 google Security Blog https://bit.ly/2HjbifQ 节录几个重点， ----------------------------------------------------------------- 即使攻击者在浏览器渲染进程中获得代码执行权限， 但是依然受到沙箱机制的限制。 https://i.imgur.com/5RPBuT7.jpg ----------------------------------------------------------------- 主要攻击 win7 x86 https://i.imgur.com/ZwG81wj.jpg https://i.imgur.com/E2PQwlN.jpg ---------------------------------------------------------------- 个人是觉得， CVE-2019-0808 不补，比较可怕， 因为它可以被用来躲避沙箱机制，提升权限， 新闻连写都不写，实在是齁~~~ 还有，小的我只补到 2019-03，4月更新的是出包的， https://i.imgur.com/8HEPUuv.jpg 这要讲清楚，避免害人家系统隔屁~~ 最後结论，最近的 chrome 实在很丑，又很难整形， 继续等 cent 下一版看看，目前还是看梯形顺眼啊~~~ : （FileReader）控管有关的漏洞，这是一个程式工具，让网站开发者设计给使 : 用者上传档案到某个网站的时候，弹出档案读取器来选择电脑中的档案。 : : : 然而这个漏洞让攻击者可以获得更多权限，进行远端程式码执行 (Remote Code : Execution，RCE) 攻击。RCE 可以不经警告或对话视窗，就在背地里植入恶意 : 软体，可能网站逛着逛着就中招了。 : : : 最好的防范方法，就是尽速更新 Chrome：「现在、马上。」 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.252.79.234 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1557777830.A.596.html