作者kuro (2020 支持蔡總統)
看板Browsers
標題[新聞] Google工程師呼籲馬上更新! Chrome爆零
時間Fri Mar 8 00:25:04 2019
Google 工程師呼籲馬上更新!Chrome 爆零日大漏洞
2019-03-07 19:22 INSIDE
你的 Chrome 是最新版嗎?趕快按下 Chrome 選單裡的「關於 Google Chrome」,
最近更新於 2019 年3月初,
版本號是「72.0.3626.121」,如果不是,Chrome
應該會開始自動檢查更新。
這次連 Google 的資安研究員都公開呼籲大家
「講真的,快安裝 Chrome 更新,
現在、馬上。」
這次修補的是 Chrome
漏洞 CVE-2019-5786,據說這個零日漏洞(在軟體方發
現並修補前,就遭濫用的漏洞)
已遭駭客發現並濫用。Google Chrome 官方部
落格並沒有透露太多細節,只知道 CVE-2019-5786
是與檔案讀取器記憶體
(FileReader)
控管有關的漏洞,這是一個程式工具,讓網站開發者設計給使
用者上傳檔案到某個網站的時候,彈出檔案讀取器來選擇電腦中的檔案。
然而
這個漏洞讓攻擊者可以獲得更多權限,進行遠端程式碼執行 (Remote Code
Execution,RCE) 攻擊。RCE
可以不經警告或對話視窗,就在背地裡植入惡意
軟體,可能網站逛著逛著就中招了。
最好的防範方法,就是
儘速更新 Chrome:「現在、馬上。」
《原文刊登於合作媒體 INSIDE,聯合新聞網獲授權轉載。》
https://udn.com/news/story/7088/3683914
--
https://i.imgur.com/Fk1YLV7.png
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.241.185.124
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Browsers/M.1551975909.A.9D4.html
1F:推 ltyintw: 那種更新機制,我還不知道要如和不儘快更新.... 03/08 02:03
2F:→ Kagero: 有一堆緬懷過去堅持用舊版的人 強姦式更新根本動不到他們 03/08 07:31
3F:→ enjoyself: 拒當白老鼠~~ya~~~ 03/08 16:31
4F:推 shala: 上網的電腦裡沒有機密是要怕三小? 03/08 16:35
5F:→ Kreen: 可能可以拿到瀏覽器內的密碼,或者幫你植入挖礦程式吧 03/08 20:09
6F:→ Kreen: 反正 Chrome 更新也沒什麼損失,更新比較安心啦~ 03/08 20:09
7F:推 mstar: 四樓說法跟某馬的「沒有違法怕什麼監聽」一樣奇妙。 03/09 09:52
8F:→ sam613: 遠端執行程式碼很嚴重,還扯什麼機密zzz 03/09 11:46
9F:推 d86123: 7樓根本完全誤解意思,真的要藏資料是不連網的,有連網的資 03/10 11:47
10F:→ d86123: 料都不是機密 03/10 11:47
11F:推 rockmanx52: 拿資料其實是小事 大問題就是挖礦還有被當殭屍的跳板 03/11 01:39
12F:推 eight0: RCE 影響的範圍比偷資料還大,但這不表示偷資料是小事吧 03/11 13:40
13F:→ eight0: 「有連網的資料都不是機密」的想法也很糟糕,如果這個事件 03/11 13:41
14F:→ eight0: 發生在安卓就更嚴重了 03/11 13:42
15F:推 rockmanx52: 我是指相對而言... 03/13 08:16
16F:→ rockmanx52: 而且現在無論是OS或瀏覽器 個資流出的問題真的已經到 03/13 08:16
17F:→ rockmanx52: 前述的「有連網的都不是機密」的程度沒錯啊 03/13 08:17
18F:→ rockmanx52: 天知道這些開發者給國安單位留了多少前門? 03/13 08:17
19F:推 Kagero: 資料方面不就二分法 給美國政府或中國共產黨 03/14 08:58
20F:→ Kagero: 不過比起資料被盜 挖礦和勒索比較麻煩 03/14 08:59
21F:→ APM99: 美國政府勢必給吧 看那精美的cpu漏洞 十幾年才被爆出來 03/15 11:26
22F:→ APM99: (還是美國自己被駭才被知道的) 03/15 11:26
23F:推 Kreen: 其實以你或大部分人的咖位美國政府或中國共產黨是根本沒興 03/17 11:13
24F:→ Kreen: 趣的,對你或說你的電腦有興趣的是挖礦、信用卡詐騙、肉機 03/17 11:14
25F:→ Kreen: 之類的應用。所以根本不用花時間無限上綱,確定有漏洞,透 03/17 11:14
26F:→ Kreen: 過更新修補就好了,耍一堆嘴皮子是要幹嘛。 03/17 11:15
27F:推 choosin: 有連網都不是機密 是要人「為最糟作準備」 有連線的設備 03/19 14:56
28F:→ choosin: 更新是必須的 程式本就沒有完美的 只是缺陷被發現跟修補 03/19 14:58
29F:→ choosin: 循環之下形成的動態完美 03/19 15:00
30F:→ Behave: 噓某人,到處鼓吹小人物個資無用論真是不疑餘力!誇張 04/03 19:47