上周Google推出Chrome更新版本72.0.3626.121,修正被指危險程度「高」的漏洞,推出當時只是列為推薦更新。不過,事隔幾天,Google改了口風,呼籲大家應該立即更新。因為已發現有惡意運用這個漏洞的程式碼,那個漏洞,原來應該被列為零日攻擊!
Google發現原來已有惡意運用漏洞的程式碼,迫得要修改更新公告。
這個編號為CVE-2019-5786的漏洞針對電腦版Google Chrome,涉及名為FileReader的開發者編程工具,每當要求用戶上載檔案,想彈出檔案清單視窗列出電腦裡的檔案時就會用到。今次的漏洞,便是管理FileReader佔用的記憶體時出現漏洞,讓FileReader可以使用本來釋放了的記憶體。如果惡意使用這個漏洞的話,可以執行任意程式碼。
Google工程師Hustin Schuh似乎認為情況非常嚴重,得不到應有的關注
漏洞在2月27日被Google危機分析小組發現,但當時尚未知道有黑客已經放出運用這個漏洞的惡意程式碼。用戶如果登入具有程式碼的網站,便有可能被遙距執行任意程式,甚至控制電腦。
Google工程師Hustin Schuh在Twitter貼文,指他上周同時要應付真的和假的零日攻擊,並說「認真的,更新你的Chrome ⋯⋯現在就做」。似乎情況非常嚴重,得不到應有的關注。
要確認Chrome是否已經更新,可以點選Chrome右上角的「⋮」選擇「Help>About Google Chrome」,又或者直接在地址列輸入「chrome://settings/help」,這樣就會強制Chrome進行版本檢查,以確認更新至版本「72.0.3626.121」或以上。
進入「About Chrome」頁面,會強制Chrome進行版本檢查。
入App免費拎寵物展入場券
