※ 引述《enjoyself (阿)》之铭言：
: ２个月过去了，各位会因为这个漏洞，
: 努力去习惯新 chrome 那巨丑的分页列吗???
: 2.新闻没有提到的，
: CVE-2019-5786 和 CVE-2019-0808 是一起运作的，
: 即使攻击者在浏览器渲染进程中获得代码执行权限，
: 但是依然受到沙箱机制的限制。
: 主要攻击 win7 x86
: 个人是觉得， CVE-2019-0808 不补，比较可怕，
: 因为它可以被用来躲避沙箱机制，提升权限，
: 新闻连写都不写，实在是齁~~~
谢谢提供新大陆, 那我也来做个时间线整理好了
CVE-2019-5786
2.27 Google 团队发现提报漏洞
3.1 72.0.3626.121 释出
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html
3.4-5 Chromium forks 释出
3/4 Vivaldi
3/5 Brave, Kinza
3/5 Chrome 安全团队负责人 Justin Schuh 发推呼吁更新
https://twitter.com/justinschuh/status/1103087046661267456
"seriously, update your Chrome installs... like right this minute"
3/6 各大防毒/资安公司/媒体外电出来
3/7(UTC+8) 台湾媒体编译外电
iThome Google Chrome爆重大远端程式码漏洞，已有攻击程式流传
https://www.ithome.com.tw/news/129152
INSIDE Google 工程师呼吁马上更新！Chrome 爆零日大漏洞
https://www.inside.com.tw/article/15760
联合转载 INSIDE
3/7 Google Security Blog 披露漏洞
Disclosing vulnerabilities to protect users across platforms
https://security.googleblog.com/2019/03/disclosing-vulnerabilities-to-protect.html
Chrome 安全团队负责人 Justin Schuh 再度发推说明为什么这个漏洞严重
https://twitter.com/justinschuh/status/1103763265757208577
Past 0days targeted Chrome by using Flash as the first exploit in the
chain. Because Flash is a plugin component, we could update it separately,
and once updated Chrome would silently switch to the fixed Flash, without a
browser restart or any user intervention.
This newest exploit is different, in that initial chain targeted Chrome
code directly, and thus required the user to have restarted the browser
after the update was downloaded. For most users the update download is
automatic, but restart is a usually a manual action.
3/8(UTC+8 00:25) k大转载联合新闻至板上
CVE-2019-0808
3/8(UTC+8) 台湾媒体编译外电 Google 披露漏洞
iThome Chrome攻击程式也涉及Windows零时差漏洞
https://www.ithome.com.tw/news/129193
3/8 外电报导 Google 披露漏洞
3/12 微软三月例行性更新修补漏洞
CVE-2019-0808 | Win32k 权限提高弱点
https://portal.msrc.microsoft.com/zh-tw/security-guidance/advisory/CVE-2019-0808
月更新 KB4489878
仅安全性更新 KB4489885
时间上是非常密切的
2/27 CVE-2019-5786 漏洞发现回报后, Google 马上进行修补代码
Chrome 3/1 释出, 一般不抗拒更新的使用者在 Google 推送后几天自动更新获得修补
因为是紧急性更新, Chromium forks 事先得知, 3/1 才开始着手修补
3/4-5 较为人知的几个 forks 释出更新, Justin Schuh 呼吁更新
大部分使用者更新后, Google 3/7 公告披露漏洞
除了 CVE-2019-5786, 一起被利用的 CVE-2019-0808 同步披露
Justin Schuh 在稍晚说明强调 CVE-2019-5786 严重是因为是直接攻击浏览器代码
不能像 Flash 自动更新完就修补, 所以 Justin Schuh 提醒要使用者重新启动才行
微软在 CVE-2019-0808 披露后五天的隔周二的月例行性更新日修补漏洞
就时间来说, CVE-2019-0808 的新闻台湾 iThome 比外电还早出来
板上转载的新闻在发表或被转载到板上时, Google 还没批露 CVE-2019-0808
所以不是写都不写, 而且也不是没有新闻, 是你有没有看到而已
: 还有，小的我只补到 2019-03，4月更新的是出包的，
: https://i.imgur.com/8HEPUuv.jpg
: 这要讲清楚，避免害人家系统隔屁~~
再来你更新到三月, 不管四月的更新是不是真的有出包
如果有正常系统更新的话, 3/12 就修补好了
不知道你是用哪一家的第三方离线更新包
3/12(台湾时间 UTC+8 是 3/13) 才释出三月例行性更新
KB4489878 竟然是 3/10 就有, 真是神奇
这种第三方更新能放心?
然后也不用说得很恐慌 CVE-2019-5786 + CVE-2019-0808
Chrome 自动更新, CVE-2019-5786 只有抗拒更新的使用者才会受影响
CVE-2019-0808 也是在两个月前就更新修补好了
会有 CVE-2019-5786 + CVE-2019-0808 危险的只有浏览器跟系统都拒绝更新的人
抗拒更新自然要承担风险
btw CVE-2019-0808 跟浏览器板有关系的只有会跟 CVE-2019-5786 一起被利用的
然后 Google 安全公告放在一起讲而已
要提醒 CVE-2019-0808 的危险的话应该是去 Windows 板
不过更新这件事在这实在难谓显学
: 最后结论，最近的 chrome 实在很丑，又很难整形，
: 继续等 cent 下一版看看，目前还是看梯形顺眼啊~~~
原来 v71 释出到现在都五个月还有这么多人放不下
那提供一点关于分页形状设计时考量的因素的资讯好了
chrome 工程师 pkasting 去年底有在 reddit 上说明分页形状设计考量的因素
18.12.29 https://www.reddit.com/comments/a3xj2q/_/ecsfg3c/
关于旧 UI 的话, 代码已经删除了(7000行)
在同一个帖子他有说维护那些的成本很高
18.12.10 https://www.reddit.com/comments/a3xj2q/_/ebgeu38/
如果 Cent 能够加回去的话, 我想应该会有很多难忘旧 UI 的人转跳, 加油喔
前面说漏洞, 最后一行提 Cent, 相当讽刺
pkasting 有分享一篇文章蛮值得看的
Why not add an option for that?
http://neugierig.org/software/blog/2018/07/options.html
文章里面有提到的文章和引用的资讯也是
Choices https://www.joelonsoftware.com/2000/04/12/choices/
The Paradox of Choice https://en.wikipedia.org/wiki/The_Paradox_of_Choice
==
如果觉得 CVE-2019-0808 可怕的话
记得上次微软提供更新给已经不再维护的 XP 是什么时候吗
就是两年前的今天, WannaCry 爆发的时候
今天刚好是微软五月份例行性更新, 微软又再度提供更新修补 XP、Server 2003
这个漏洞是 CVE-2019-0708, 有可能有引发类似 WannaCry 的灾难
受影响的系统是
Windows XP, Server 2003, Windows 7、Windows Server 2008 及2008 R2
相关新闻跟资讯连结附在下面
旧版Windows存在远端桌面服务重大漏洞，微软罕见修补XP、Server 2003
https://www.ithome.com.tw/news/130646
基于旧版Windows的远端桌面服务存在重大漏洞，可能引发类似WannaCry的灾情，微软特
别针对XP、Server 2003释出修补程式，并通知用户尽速升级
微软发布安全公告，警告旧版Windows（包括桌机及服务器版存在）的重大远端程式码执
行漏洞，有引发类似WannaCry灾难之虞，并罕见针对Windows XP、Server 2003释出修补
程式，并呼吁用户尽速升级。
编号CVE-2019-0708的漏洞存在于旧版Windows远端桌面服务（Remote Desktop Service,
RDS）中，后者原本被称为终端服务（Terminal Services），本漏洞可使未授权攻击者得
以利用RDP连上目标系统，传送改造过的呼叫。远端桌面协定（Remote Desktop
Protocol, RDP）本身则未受影响。
CVE-2019-0708为一种预先验证（pre-authentication）漏洞，不需使用者互动即可作用
，成功开采者可于远端执行任意程式码、安装恶意程式、读取或删改资料、或新开具完整
权限的用户帐号。微软安全部门指出，作为预先验证漏洞，意谓著CVE-2019-0708可被蠕
虫繁殖（wormable），也就是说任何开采本漏洞的恶意软件，都可从一台有漏洞的电脑复
制扩散到其他电脑上，一如2017年殃及全球的WannaCry。微软目前未观察到任何开采情形
，但骇客极可能针对它撰写攻击程式。
CVE-2019-0708影响的版本除了目前微软还支援的Windows 7、Windows Server 2008 及
2008 R2，更包括已经终止支援的Windows XP及Server 2003。但Windows 8和Windows 10
系统则不受影响。
在所有版本Windows 上，本漏洞的CVSS Score v3风险评分皆为重大等级的9.8分（满分10
分），并且没有权宜性（workarounds）的方法。上述版本软件若有启用网络层验证（
Network Level Authentication，NLA）或许可抵挡蠕虫程式或进阶威胁，但是如果攻击
者具备有效帐密，则仍然可成功验证而于远端执行恶意程式码发动攻击。因此，微软强烈
建议用户应尽速安装修补程式。
如果用户Windows版本仍在支援中，可经由Windows自动更新机制或从微软安全更新指南网
页下载更新。微软还针对Windows XP（SP3 x86、商用版 x64 版 SP2、Embedded SP3 x86
）、Server 2003（SP2 x86、x64 版 SP2）例外释出KB4500705版本修补程式。
CVE-2019-0708 | 远端桌面服务远端执行程式码弱点
https://portal.msrc.microsoft.com/zh-tw/security-guidance/advisory/CVE-2019-0708
CVE-2019年-0708年的客户指导 |执行远端桌面服务远端程式码的弱点
https://support.microsoft.com/help/4500705/
Prevent a worm by updating Remote Desktop Services (CVE-2019-0708)
https://blogs.technet.microsoft.com/msrc/?p=4005
Microsoft warns wormable Windows bug could lead to another WannaCry
https://arstechnica.com/?p=1505391
外电附一篇就好, 台湾媒体真的有点慢
我从一大早等到刚刚, 才看到 iThome 的新闻出来
如果是受影响的系统的使用者, 看到祝你更新顺利(MSRC 的连结里有载点)