(轉)禍不單行~ 在Intel / nVidia 之後,Chrome瀏覽器跟來囉~ :-(

禍不單行~ 在Intel / nVidia 之後,Chrome瀏覽器跟來囉~ :-(
原文出處

Google在3月6日發佈安全公告,提醒大眾Google Chrome有重大遠端程式碼執行(Remote Code Execution,RCE)零時差漏洞,且已有攻擊情形發生,呼籲使用者儘速更新到最新版。

編號CVE-2019-5786的漏洞發生在Chrome的FileReader,它是存在於大部份主要瀏覽器的Web API,讓瀏覽器可以讀取儲存於用戶電腦的檔案內容。最新發現的漏洞屬於釋放後使用(use-after-free)漏洞,安全公司Zerodium執行長Chaouki Bekrar指出,該漏洞可讓惡意程式碼突破Chrome記憶體沙箱的限制,而在底層作業系統執行指令。他並預期2019年將會有更重大的零時差漏洞出現,Android、iOS、Windows、Office、虛擬層都有可能出現。

但Google本身並未公佈漏洞細節,表示要等到大部份用戶都完成更新才會公佈。此外,如果其他專案使用的第三方函式庫存在這項漏洞且尚未修補,Google也會暫緩公佈資訊。

Google已於3月初逐步透過穩定版頻道(stable channel)釋出已修補漏洞的Windows、Mac、及Linux版本Chrome 72.0.3626.121,預計最長需要數周時間完成部署。
2019-03-08 9:50 #1
好多年沒用股鴿.
寶貝:)開心最重要.嘻哈!
NeverGiveUp!! wrote:
好多年沒用股鴿....(恕刪)


我比較喜歡狐狸,但偶爾來點鴿是 OK 的 ~


------------------

回歸樓主的主題,
提到嚴重安全漏洞,另一個嚴重安全隱患的是超過 5 億人使用的【WinRAR】



日前被發現 WinRAR 有嚴重的安全隱患,
該漏洞竟然存在超過 10 多年一直未被發現(修復),
假設攻擊者成功利用該漏洞,可以繞過系統權限來執行 WinRAR,
並將惡意程序植入到被害者系統內 !

不過也不需太擔心,
使用者只需將 WinRAR 更新至 5.7版(含)以上,該漏洞就不存在了。
(5.7 版以後不再支援 ACE 檔案格式)


更多細節可以參考 :

WinRAR 爆出 10 年未被發現的大漏洞:解壓縮同時會把病毒安裝到電腦裡

WinRAR 壓縮軟體存在高危漏洞,攻擊者可繞開權限「操控」電腦
都用7-Zip.根本不用怕.
KevinYu0504 wrote:
回歸樓主的主題,
提到嚴重安全漏洞,另一個嚴重安全隱患的是超過 5 億人使用的【WinRAR】
寶貝:)開心最重要.嘻哈!
限制級
您即將進入之討論頁 需滿18歲 方可瀏覽。
根據「電腦網路內容分級處理辦法」修正條文第六條第三款規定,已於該限制級網頁,依台灣網站分級推廣基金會規定作標示。
評分
複製連結