禍不單行~ 在Intel / nVidia 之後,Chrome瀏覽器跟來囉~ :-(
原文出處
Google在3月6日發佈安全公告,提醒大眾Google Chrome有重大遠端程式碼執行(Remote Code Execution,RCE)零時差漏洞,且已有攻擊情形發生,呼籲使用者儘速更新到最新版。
編號CVE-2019-5786的漏洞發生在Chrome的FileReader,它是存在於大部份主要瀏覽器的Web API,讓瀏覽器可以讀取儲存於用戶電腦的檔案內容。最新發現的漏洞屬於釋放後使用(use-after-free)漏洞,安全公司Zerodium執行長Chaouki Bekrar指出,該漏洞可讓惡意程式碼突破Chrome記憶體沙箱的限制,而在底層作業系統執行指令。他並預期2019年將會有更重大的零時差漏洞出現,Android、iOS、Windows、Office、虛擬層都有可能出現。
但Google本身並未公佈漏洞細節,表示要等到大部份用戶都完成更新才會公佈。此外,如果其他專案使用的第三方函式庫存在這項漏洞且尚未修補,Google也會暫緩公佈資訊。
Google已於3月初逐步透過穩定版頻道(stable channel)釋出已修補漏洞的Windows、Mac、及Linux版本Chrome 72.0.3626.121,預計最長需要數周時間完成部署。
NeverGiveUp!! wrote:
好多年沒用股鴿.&zwj...(恕刪)
我比較喜歡狐狸,但偶爾來點鴿是 OK 的 ~
------------------
回歸樓主的主題,
提到嚴重安全漏洞,另一個嚴重安全隱患的是超過 5 億人使用的【WinRAR】
日前被發現 WinRAR 有嚴重的安全隱患,
該漏洞竟然存在超過 10 多年一直未被發現(修復),
假設攻擊者成功利用該漏洞,可以繞過系統權限來執行 WinRAR,
並將惡意程序植入到被害者系統內 !
不過也不需太擔心,
使用者只需將 WinRAR 更新至 5.7版(含)以上,該漏洞就不存在了。
(5.7 版以後不再支援 ACE 檔案格式)
更多細節可以參考 :
WinRAR 爆出 10 年未被發現的大漏洞:解壓縮同時會把病毒安裝到電腦裡
WinRAR 壓縮軟體存在高危漏洞,攻擊者可繞開權限「操控」電腦
內文搜尋
從 APP 打開
X