Chrome 88.0.4324.150 решава уязвимост с нулев ден

Darkcrizt

4 Minutos

Два дни след пускането на фиксирана версия на Chrome с премахването на критичната уязвимост, Google обяви пускането на друга актуализация за Chrome 88.0.4324.150, който поправя уязвимостта CVE-2021-21148, вече използвана от хакери при експлойти (0 дни).

Подробности тепърва ще се разкриват, известно е, че уязвимостта е причинена само от препълване на стека в V8 JavaScript двигателя.

Относно уязвимостта, отстранена в Chrome

Някои анализатори спекулират, че уязвимостта е била използвана при експлойт, използван при атаката на ZINC от края на януари срещу изследователи по сигурността (миналата година фиктивен изследовател беше повишен в Twitter и различни социални мрежи, като първоначално спечели положителна репутация чрез публикуване на рецензии и статии за нови уязвимости, но като публикувах друга статия, използвах експлойт с уязвимост ден 0 който хвърля код в системата, когато се кликне върху връзка в Chrome за Windows).

На проблема е присвоено високо, но не критично ниво на опасностС други думи, посочва се, че уязвимостта не позволява да се заобиколят всички нива на защита на браузъра и не е достатъчна за изпълнение на код в системата извън средата на пясъчника.

Самата уязвимост в Chrome не позволява заобикаляне на средата на пясъчника, а за пълноценна атака се изисква друга уязвимост в операционната система.

Освен това, има няколко публикации в Google, свързани със сигурността които се появиха наскоро:

  1. Доклад за експлойти с уязвимости на ден 0 идентифицирани от екипа на Project Zero миналата година. Статията предоставя статистика, че 25% от уязвимостите изследвания ден 0 бяха пряко свързани с предварително разкрити и фиксирани уязвимости, т.е. авторите на ден 0 експлойти откриха нов вектор на атака поради недостатъчно пълно или некачествено поправяне (например, уязвимите разработчици на програми често поправят само специална случай или просто се преструвайте на поправка, без да стигнете до корена на проблема).
    Тези уязвимости от нулев ден биха могли да бъдат предотвратени с по-нататъшно разследване и отстраняване на уязвимостите.
  2. Докладвайте за таксите, които Google плаща на изследователите сигурност за идентифициране на уязвимости. През 6.7 г. бяха изплатени общо $ 2020 милиона премии, което е с $ 280,000 2019 повече в сравнение с 2018 г. и почти двойно повече от 662 г. Общо бяха изплатени 132.000 награди. Най-голямата награда беше $ XNUMX XNUMX.
  3. 1,74 милиона долара бяха изразходвани за плащания, свързани със сигурността на платформата на Android, 2,1 милиона долара - Chrome, 270 хиляди долара - Google Play и 400 хиляди долара за безвъзмездни средства за научни изследвания.
  4. Въведена бе рамката „Знай, предотврати, поправи“ за управление на метаданни за отстраняване на уязвимости, наблюдение на корекции, изпращане на известия за нови уязвимости, поддържане на база данни с информация за уязвимости, проследяване на уязвимости към зависимости и анализ на риска от проява на уязвимост чрез зависимости.

Как да инсталирам или актуализирам до новата версия на Google Chrome?

Първото нещо, което трябва да направите, е проверете дали актуализацията вече е налична, за него трябва да отидете на chrome: // settings / help и ще видите известието, че има актуализация.

Ако случаят не е такъв, трябва да затворите браузъра си и те да изтеглят пакета от официалната страница на Google Chrome, така че трябва да отидат към следната връзка, за да получите пакета.

Или от терминала с:

[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]

Извършено изтегляне на пакета те могат да направят директна инсталация с предпочитания от тях мениджър на пакети, или от терминала те могат да го направят, като напишат следната команда:

[sourcecode text = "bash"] sudo dpkg -i google-chrome-stable_current_amd64.deb [/ sourcecode]

И в случай че имате проблеми със зависимостите, можете да ги разрешите, като напишете следната команда:

[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]

В случай на системи с поддръжка за RPM пакети като CentOS, RHEL, Fedora, openSUSE и деривати, трябва да изтеглите пакета rpm, които можете да получите от следната връзка. 

Завърши изтеглянето те трябва да инсталират пакета с предпочитания от тях мениджър на пакети или от терминала те могат да го направят със следната команда:

[sourcecode text = "bash"] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]

В случай на Arch Linux и системи, получени от него, като Manjaro, Antergos и други, можем да инсталираме приложението от хранилищата AUR.

Те просто трябва да напишат следната команда в терминала:

[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.

  1.   без име каза той
    hace 3 година

    Поради простия факт, че е затворен код, той вече е несигурен сам по себе си, не си струва да губите време, използвайки такъв софтуер, тъй като има безплатни алтернативи.

    Отговор на неназован