更多

    唔好懶懶閒! Chrome FileReader 漏洞原來係真.零日攻擊

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    【iOS14 升級精讀】AirPods Pro 通透模式設定

    AirPods Pro 主打主動降噪,效果很好,能隔絕大部分外界聲音。不過與此同時,也提供了通透模式。讓大家可以聽清楚外界的聲音。來到 iOS 14 ,大家還可以對通透模式下的音頻進行仔細調校。

    禁令生效前大逆轉    特朗普同意甲骨文+ Walmart 入股 TikTok Global 方案

    就在美國商務部針對 TikTok 的封殺令生效前夕,特朗普表示他原則上批准甲骨文和 Walmart 合作收購 TikTok 。 TikTok 將成立一間公司 TikTok Global 在美國上市,營運 TikTok 美國業務,公司 6 成股份由包括甲骨文在內的美國人持有, TikTok 並會捐出 50 億美元支持美國的教育基金。由於特朗普這項決定,美國商務部將 TikTok 的下架期限押後 7 日至 27 日才生效。

    【iOS14 升級精讀】隨機 Wi-Fi 私人地址防追踪

    如果你擔心有人會透過手機的 MAC 地址來追踪你的話, iOS 14 在 Wi-Fi 設定裡提供了一個功能「私人地址」功能,能在不同的 Wi-Fi 網絡使用不同的隨機 MAC 地址,一定程度上能防止別人追踪你的裝置,提高私隱。

    上星期, Google 推出了 Chrome 更新版本 72.0.3626.121 ,修正一個被指危險程度「高」的漏洞,推出當時只是列為推薦更新。不過,事隔幾日, Google 就改了口風,呼籲大家應該立即更新。因為已發現有惡意運用這個漏洞的程式碼,那個漏洞,原來應該被列為零日攻擊!

    Google 發現原來已有惡意運用漏洞的程式碼,迫得要修改更新公告。
    Google 發現原來已有惡意運用漏洞的程式碼,迫得要修改更新公告。

    這個編號為 CVE-2019-5786 的漏洞針對電腦版 Google Chrome ,涉及名為 FileReader 的開發者編程工具,每當要求用戶上載檔案,想彈出檔案清單視窗列出電腦裡的檔案時就會用到。而今次的漏洞,就是管理 FileReader 佔用的記憶體時出現漏洞,讓 FileReader 可以使用本來釋放了記憶體。如果惡意使用這個漏洞的話,可以執行任意程式碼。

    漏洞是在 2 月 27 日被 Google 危機分析小組發現的,不過當時還不知道原來有人已經放出運用這個漏洞的惡意程式碼。用戶如果登入植入了這些程式碼的網站,就有可能被遙距執行任意程式,甚至控制電腦。

    Google 的工程師 Hustin Schuh 就在 Twitter 上貼文,指他上星期同時要應付真的和假的零日攻擊,並說「認真的,更新你的 Chrome ⋯⋯現在就做」。似乎他情況非常嚴重而得不到應有的關注。

    要確認 Chrome 是否已經更新,可以點選 Chrome 右上角的「 ⋮ 」選擇「 Help > About Google Chrome 」,又或者直接在地址列輸入「 chrome://settings/help 」,這樣就會強制 Chrome 進行版本檢查,以確認更新至版本「 72.0.3626.121 」或以上。

    進入「 About Chrome 」頁面,就會強制 Chrome 進行版本檢查。
    進入「 About Chrome 」頁面,就會強制 Chrome 進行版本檢查。

    您會感興趣的內容

    相關文章