: Google 工程師呼籲馬上更新！Chrome 爆零日大漏洞 : : 2019-03-07 19:22 INSIDE : : 你的 Chrome 是最新版嗎？趕快按下 Chrome 選單裡的「關於 Google Chrome」， : 最近更新於 2019 年３月初，版本號是「72.0.3626.121」，如果不是，Chrome : 應該會開始自動檢查更新。 : : 這次修補的是 Chrome 漏洞 CVE-2019-5786，據說這個零日漏洞（在軟體方發 : 現並修補前，就遭濫用的漏洞）已遭駭客發現並濫用。Google Chrome 官方部 : 落格並沒有透露太多細節，只知道 CVE-2019-5786 是與檔案讀取器記憶體 ２個月過去了，各位會因為這個漏洞， 努力去習慣新 chrome 那巨醜的分頁列嗎??? 而這個 --device-scale-factor=1 參數消失， 幹~~~那字體更是好難調整， 先講重點， 1.本人只是單純提供資訊，只是單純提供資訊，只是單純提供資訊， 沒有其他意圖，沒有其他意圖，沒有其他意圖， 2.新聞沒有提到的， CVE-2019-5786 和 CVE-2019-0808 是一起運作的， 首先，先看個版上有趣的文章， https://i.imgur.com/edFMD7t.jpg 可以看到，賣肝網頁工程師滿滿的恨意 小的使用 IE6 的時間，比起其他　IE8、9、10、11 使用時間加起來還多， 參考一下小的2010的文章，就只是講講實話而已， https://i.imgur.com/aokphfq.jpg 多年以後，對照一下，難怪啊，難怪啊，講講實話， 卻能夠成為本版噓文第１名，這真是， 中華文化中的，此恨綿綿無絕期 日本動漫中的，https://i.imgur.com/mI1CiP3.jpg 好了，緬懷第１名結束， 進入主題，關於這個漏洞， Mcafee 分析文章，英文， https://bit.ly/2YpWPUW 翻譯文章，中文 https://bit.ly/2HhHUq6 漏洞利用代碼網址 https://github.com/exodusintel/CVE-2019-5786 google Security Blog https://bit.ly/2HjbifQ 節錄幾個重點， ----------------------------------------------------------------- 即使攻擊者在瀏覽器渲染進程中獲得代碼執行權限， 但是依然受到沙箱機制的限制。 https://i.imgur.com/5RPBuT7.jpg ----------------------------------------------------------------- 主要攻擊 win7 x86 https://i.imgur.com/ZwG81wj.jpg https://i.imgur.com/E2PQwlN.jpg ---------------------------------------------------------------- 個人是覺得， CVE-2019-0808 不補，比較可怕， 因為它可以被用來躲避沙箱機制，提升權限， 新聞連寫都不寫，實在是齁~~~ 還有，小的我只補到 2019-03，4月更新的是出包的， https://i.imgur.com/8HEPUuv.jpg 這要講清楚，避免害人家系統隔屁~~ 最後結論，最近的 chrome 實在很醜，又很難整形， 繼續等 cent 下一版看看，目前還是看梯形順眼啊~~~ : （FileReader）控管有關的漏洞，這是一個程式工具，讓網站開發者設計給使 : 用者上傳檔案到某個網站的時候，彈出檔案讀取器來選擇電腦中的檔案。 : : : 然而這個漏洞讓攻擊者可以獲得更多權限，進行遠端程式碼執行 (Remote Code : Execution，RCE) 攻擊。RCE 可以不經警告或對話視窗，就在背地裡植入惡意 : 軟體，可能網站逛著逛著就中招了。 : : : 最好的防範方法，就是儘速更新 Chrome：「現在、馬上。」 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.252.79.234 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/Browsers/M.1557777830.A.596.html