Re: [新聞] Google工程師呼籲馬上更新! Chrome爆零

作者: evansliu (evansliu)   2019-05-15 16:54:15
※ 引述《enjoyself (阿)》之銘言:
: 2個月過去了,各位會因為這個漏洞,
: 努力去習慣新 chrome 那巨醜的分頁列嗎???
: 2.新聞沒有提到的,
: CVE-2019-5786 和 CVE-2019-0808 是一起運作的,
: 即使攻擊者在瀏覽器渲染進程中獲得代碼執行權限,
: 但是依然受到沙箱機制的限制。
: 主要攻擊 win7 x86
: 個人是覺得, CVE-2019-0808 不補,比較可怕,
: 因為它可以被用來躲避沙箱機制,提升權限,
: 新聞連寫都不寫,實在是齁~~~
謝謝提供新大陸, 那我也來做個時間線整理好了
CVE-2019-5786
2.27 Google 團隊發現提報漏洞
3.1 72.0.3626.121 釋出
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html
3.4-5 Chromium forks 釋出
3/4 Vivaldi
3/5 Brave, Kinza
3/5 Chrome 安全團隊負責人 Justin Schuh 發推呼籲更新
https://twitter.com/justinschuh/status/1103087046661267456
"seriously, update your Chrome installs... like right this minute"
3/6 各大防毒/資安公司/媒體外電出來
3/7(UTC+8) 台灣媒體編譯外電
iThome Google Chrome爆重大遠端程式碼漏洞,已有攻擊程式流傳
https://www.ithome.com.tw/news/129152
INSIDE Google 工程師呼籲馬上更新!Chrome 爆零日大漏洞
https://www.inside.com.tw/article/15760
聯合轉載 INSIDE
3/7 Google Security Blog 披露漏洞
Disclosing vulnerabilities to protect users across platforms
https://security.googleblog.com/2019/03/disclosing-vulnerabilities-to-protect.html
Chrome 安全團隊負責人 Justin Schuh 再度發推說明為什麼這個漏洞嚴重
https://twitter.com/justinschuh/status/1103763265757208577
Past 0days targeted Chrome by using Flash as the first exploit in the
chain. Because Flash is a plugin component, we could update it separately,
and once updated Chrome would silently switch to the fixed Flash, without a
browser restart or any user intervention.
This newest exploit is different, in that initial chain targeted Chrome
code directly, and thus required the user to have restarted the browser
after the update was downloaded. For most users the update download is
automatic, but restart is a usually a manual action.
3/8(UTC+8 00:25) k大轉載聯合新聞至板上
CVE-2019-0808
3/8(UTC+8) 台灣媒體編譯外電 Google 披露漏洞
iThome Chrome攻擊程式也涉及Windows零時差漏洞
https://www.ithome.com.tw/news/129193
3/8 外電報導 Google 披露漏洞
3/12 微軟三月例行性更新修補漏洞
CVE-2019-0808 | Win32k 權限提高弱點
https://portal.msrc.microsoft.com/zh-tw/security-guidance/advisory/CVE-2019-0808
月更新 KB4489878
僅安全性更新 KB4489885
時間上是非常密切的
2/27 CVE-2019-5786 漏洞發現回報後, Google 馬上進行修補代碼
Chrome 3/1 釋出, 一般不抗拒更新的使用者在 Google 推送後幾天自動更新獲得修補
因為是緊急性更新, Chromium forks 事先得知, 3/1 才開始著手修補
3/4-5 較為人知的幾個 forks 釋出更新, Justin Schuh 呼籲更新
大部分使用者更新後, Google 3/7 公告披露漏洞
除了 CVE-2019-5786, 一起被利用的 CVE-2019-0808 同步披露
Justin Schuh 在稍晚說明強調 CVE-2019-5786 嚴重是因為是直接攻擊瀏覽器代碼
不能像 Flash 自動更新完就修補, 所以 Justin Schuh 提醒要使用者重新啟動才行
微軟在 CVE-2019-0808 披露後五天的隔週二的月例行性更新日修補漏洞
就時間來說, CVE-2019-0808 的新聞台灣 iThome 比外電還早出來
板上轉載的新聞在發表或被轉載到板上時, Google 還沒批露 CVE-2019-0808
所以不是寫都不寫, 而且也不是沒有新聞, 是你有沒有看到而已
: 還有,小的我只補到 2019-03,4月更新的是出包的,
: https://i.imgur.com/8HEPUuv.jpg
: 這要講清楚,避免害人家系統隔屁~~
再來你更新到三月, 不管四月的更新是不是真的有出包
如果有正常系統更新的話, 3/12 就修補好了
不知道你是用哪一家的第三方離線更新包
3/12(台灣時間 UTC+8 是 3/13) 才釋出三月例行性更新
KB4489878 竟然是 3/10 就有, 真是神奇
這種第三方更新能放心?
然後也不用說得很恐慌 CVE-2019-5786 + CVE-2019-0808
Chrome 自動更新, CVE-2019-5786 只有抗拒更新的使用者才會受影響
CVE-2019-0808 也是在兩個月前就更新修補好了
會有 CVE-2019-5786 + CVE-2019-0808 危險的只有瀏覽器跟系統都拒絕更新的人
抗拒更新自然要承擔風險
btw CVE-2019-0808 跟瀏覽器板有關係的只有會跟 CVE-2019-5786 一起被利用的
然後 Google 安全公告放在一起講而已
要提醒 CVE-2019-0808 的危險的話應該是去 Windows 板
不過更新這件事在這實在難謂顯學
: 最後結論,最近的 chrome 實在很醜,又很難整形,
: 繼續等 cent 下一版看看,目前還是看梯形順眼啊~~~
原來 v71 釋出到現在都五個月還有這麼多人放不下
那提供一點關於分頁形狀設計時考量的因素的資訊好了
chrome 工程師 pkasting 去年底有在 reddit 上說明分頁形狀設計考量的因素
18.12.29 https://www.reddit.com/comments/a3xj2q/_/ecsfg3c/
關於舊 UI 的話, 代碼已經刪除了(7000行)
在同一個帖子他有說維護那些的成本很高
18.12.10 https://www.reddit.com/comments/a3xj2q/_/ebgeu38/
如果 Cent 能夠加回去的話, 我想應該會有很多難忘舊 UI 的人轉跳, 加油喔
前面說漏洞, 最後一行提 Cent, 相當諷刺
pkasting 有分享一篇文章蠻值得看的
Why not add an option for that?
http://neugierig.org/software/blog/2018/07/options.html
文章裡面有提到的文章和引用的資訊也是
Choices https://www.joelonsoftware.com/2000/04/12/choices/
The Paradox of Choice https://en.wikipedia.org/wiki/The_Paradox_of_Choice
==
如果覺得 CVE-2019-0808 可怕的話
記得上次微軟提供更新給已經不再維護的 XP 是什麼時候嗎
就是兩年前的今天, WannaCry 爆發的時候
今天剛好是微軟五月份例行性更新, 微軟又再度提供更新修補 XP、Server 2003
這個漏洞是 CVE-2019-0708, 有可能有引發類似 WannaCry 的災難
受影響的系統是
Windows XP, Server 2003, Windows 7、Windows Server 2008 及2008 R2
相關新聞跟資訊連結附在下面
舊版Windows存在遠端桌面服務重大漏洞,微軟罕見修補XP、Server 2003
https://www.ithome.com.tw/news/130646
基於舊版Windows的遠端桌面服務存在重大漏洞,可能引發類似WannaCry的災情,微軟特
別針對XP、Server 2003釋出修補程式,並通知用戶儘速升級
微軟發佈安全公告,警告舊版Windows(包括桌機及伺服器版存在)的重大遠端程式碼執
行漏洞,有引發類似WannaCry災難之虞,並罕見針對Windows XP、Server 2003釋出修補
程式,並呼籲用戶儘速升級。
編號CVE-2019-0708的漏洞存在於舊版Windows遠端桌面服務(Remote Desktop Service,
RDS)中,後者原本被稱為終端服務(Terminal Services),本漏洞可使未授權攻擊者得
以利用RDP連上目標系統,傳送改造過的呼叫。遠端桌面協定(Remote Desktop
Protocol, RDP)本身則未受影響。
CVE-2019-0708為一種預先驗證(pre-authentication)漏洞,不需使用者互動即可作用
,成功開採者可於遠端執行任意程式碼、安裝惡意程式、讀取或刪改資料、或新開具完整
權限的用戶帳號。微軟安全部門指出,作為預先驗證漏洞,意謂著CVE-2019-0708可被蠕
蟲繁殖(wormable),也就是說任何開採本漏洞的惡意軟體,都可從一臺有漏洞的電腦複
製擴散到其他電腦上,一如2017年殃及全球的WannaCry。微軟目前未觀察到任何開採情形
,但駭客極可能針對它撰寫攻擊程式。
CVE-2019-0708影響的版本除了目前微軟還支援的Windows 7、Windows Server 2008 及
2008 R2,更包括已經終止支援的Windows XP及Server 2003。但Windows 8和Windows 10
系統則不受影響。
在所有版本Windows 上,本漏洞的CVSS Score v3風險評分皆為重大等級的9.8分(滿分10
分),並且沒有權宜性(workarounds)的方法。上述版本軟體若有啟用網路層驗證(
Network Level Authentication,NLA)或許可抵擋蠕蟲程式或進階威脅,但是如果攻擊
者具備有效帳密,則仍然可成功驗證而於遠端執行惡意程式碼發動攻擊。因此,微軟強烈
建議用戶應儘速安裝修補程式。
如果用戶Windows版本仍在支援中,可經由Windows自動更新機制或從微軟安全更新指南網
頁下載更新。微軟還針對Windows XP(SP3 x86、商用版 x64 版 SP2、Embedded SP3 x86
)、Server 2003(SP2 x86、x64 版 SP2)例外釋出KB4500705版本修補程式。
CVE-2019-0708 | 遠端桌面服務遠端執行程式碼弱點
https://portal.msrc.microsoft.com/zh-tw/security-guidance/advisory/CVE-2019-0708
CVE-2019年-0708年的客戶指導 |執行遠端桌面服務遠端程式碼的弱點
https://support.microsoft.com/help/4500705/
Prevent a worm by updating Remote Desktop Services (CVE-2019-0708)
https://blogs.technet.microsoft.com/msrc/?p=4005
Microsoft warns wormable Windows bug could lead to another WannaCry
https://arstechnica.com/?p=1505391
外電附一篇就好, 台灣媒體真的有點慢
我從一大早等到剛剛, 才看到 iThome 的新聞出來
如果是受影響的系統的使用者, 看到祝你更新順利(MSRC 的連結裡有載點)

Links booklink

Contact Us: admin [ a t ] ucptt.com