唔好懶懶閒! Chrome FileReader 漏洞原來係真.零日攻擊

唔好懶懶閒! Chrome FileReader 漏洞原來係真.零日攻擊

上星期, Google 推出了 Chrome 更新版本 72.0.3626.121 ,修正一個被指危險程度「高」的漏洞,推出當時只是列為推薦更新。不過,事隔幾日, Google 就改了口風,呼籲大家應該立即更新。因為已發現有惡意運用這個漏洞的程式碼,那個漏洞,原來應該被列為零日攻擊!

Google 發現原來已有惡意運用漏洞的程式碼,迫得要修改更新公告。

Google 發現原來已有惡意運用漏洞的程式碼,迫得要修改更新公告。

這個編號為 CVE-2019-5786 的漏洞針對電腦版 Google Chrome ,涉及名為 FileReader 的開發者編程工具,每當要求用戶上載檔案,想彈出檔案清單視窗列出電腦裡的檔案時就會用到。而今次的漏洞,就是管理 FileReader 佔用的記憶體時出現漏洞,讓 FileReader 可以使用本來釋放了記憶體。如果惡意使用這個漏洞的話,可以執行任意程式碼。

漏洞是在 2 月 27 日被 Google 危機分析小組發現的,不過當時還不知道原來有人已經放出運用這個漏洞的惡意程式碼。用戶如果登入植入了這些程式碼的網站,就有可能被遙距執行任意程式,甚至控制電腦。

Google 的工程師 Hustin Schuh 就在 Twitter 上貼文,指他上星期同時要應付真的和假的零日攻擊,並說「認真的,更新你的 Chrome ⋯⋯現在就做」。似乎他情況非常嚴重而得不到應有的關注。

要確認 Chrome 是否已經更新,可以點選 Chrome 右上角的「 ⋮ 」選擇「 Help > About Google Chrome 」,又或者直接在地址列輸入「 chrome://settings/help 」,這樣就會強制 Chrome 進行版本檢查,以確認更新至版本「 72.0.3626.121 」或以上。

進入「 About Chrome 」頁面,就會強制 Chrome 進行版本檢查。

進入「 About Chrome 」頁面,就會強制 Chrome 進行版本檢查。