John pan

  上星期， Google 推出了 Chrome 更新版本 72.0.3626.121 ，修正一個被指危險程度「高」的漏洞，推出當時只是列為推薦更新。不過，事隔幾日， Google 就改了口風，呼籲大家應該立即更新。因為已發現有惡意運用這個漏洞的程式碼，那個漏洞，原來應該被列為零日攻擊！

Google 發現原來已有惡意運用漏洞的程式碼，迫得要修改更新公告。

  這個編號為 CVE-2019-5786 的漏洞針對電腦版 Google Chrome ，涉及名為 FileReader 的開發者編程工具，每當要求用戶上載檔案，想彈出檔案清單視窗列出電腦裡的檔案時就會用到。而今次的漏洞，就是管理 FileReader 佔用的記憶體時出現漏洞，讓 FileReader 可以使用本來釋放了記憶體。如果惡意使用這個漏洞的話，可以執行任意程式碼。

  漏洞是在 2 月 27 日被 Google 危機分析小組發現的，不過當時還不知道原來有人已經放出運用這個漏洞的惡意程式碼。用戶如果登入植入了這些程式碼的網站，就有可能被遙距執行任意程式，甚至控制電腦。

  Google 的工程師 Hustin Schuh 就在 Twitter 上貼文，指他上星期同時要應付真的和假的零日攻擊，並說「認真的，更新你的 Chrome ⋯⋯現在就做」。似乎他情況非常嚴重而得不到應有的關注。

   要確認 Chrome 是否已經更新，可以點選 Chrome 右上角的「 ⋮ 」選擇「 說明 ＞ 關於 Google Chrome 」，又或者直接在網頁地址列輸入「 chrome://settings/help 」，這樣就會強制 Chrome 進行版本檢查，以確認更新至版本「 72.0.3626.121 」或以上。

來源

謝謝收看