Chrome 88.0.4324.150 arriba a solucionar una vulnerabilitat zero day

Darkcrizt

4 minuts

Dos dies després de la publicació d'una versió correctiva de Chrome amb l'eliminació de la vulnerabilitat crítica, Google va donar a conèixer el llançament d'una altra actualització per Chrome 88.0.4324.150, que corregeix la vulnerabilitat CVE-2021-21148 ja utilitzada per hackers en gestes (0-day).

Els detalls encara no s'han revelat, només se sap que la vulnerabilitat és causada per un desbordament de pila en el motor JavaScript V8.

Sobre la vulnerabilitat solucionada a Chrome

alguns analistes especulen que la vulnerabilitat es va utilitzar en un exploit utilitzat en l'atac ZINC de finals de gener contra investigadors de seguretat (l'any passat es va promoure un investigador fictici a Twitter i diverses xarxes socials, que inicialment es va guanyar una reputació positiva a través de la publicació de ressenyes i articles sobre noves vulnerabilitats, però a l'publicar un altre article , vaig utilitzar un exploit amb una vulnerabilitat de dia 0 que llança codi en el sistema quan es fa clic a un enllaç a Chrome per a Windows).

A el problema se li assigna un nivell de perill alt, però no crític, És a dir, s'indica que la vulnerabilitat no permet eludir tots els nivells de protecció de el navegador i no és suficient per a executar codi en el sistema fora de l'entorn de la caixa de sorra.

La vulnerabilitat a Chrome en si no permet passar per alt l'entorn de la caixa de sorra i, per a un atac en tota regla, es requereix una altra vulnerabilitat en el sistema operatiu.

A més, hi ha diverses publicacions de Google relacionades amb la seguretat que han aparegut recentment:

  1. Un informe sobre gestes amb vulnerabilitats de dia 0 identificades per l'equip de Project Zero l'any passat. L'article proporciona estadístiques que el 25% de les vulnerabilitats de dia 0 estudiades estaven directament relacionades amb vulnerabilitats prèviament divulgades públicament i reparades, és a dir, els autors de gestes de dia 0 van trobar un nou vector d'atac a causa d'una correcció insuficientment completa o de mala qualitat (per exemple, els desenvolupadors de programes vulnerables sovint solucionen només un cas especial o simplement pretenen ser una correcció sense arribar a l'arrel de el problema).
    Aquestes vulnerabilitats de dia zero podrien haver-se evitat potencialment amb una investigació més exhaustiva i la correcció de les vulnerabilitats.
  2. Informe sobre les tarifes que paga Google als investigadors de seguretat per a identificar vulnerabilitats. Es van pagar un total de $ 6.7 en primes el 2020, que és $ 280,000 més que el 2019 i gairebé el doble que en 2018. Es van pagar un total de 662 premis. El premi més gran va ser de 132.000 dòlars.
  3. Es van gastar $ 1,74 en pagaments relacionats amb la seguretat de la plataforma Android, $ 2,1 milions - Chrome, $ 270 milers - Google Play i $ 400 mil per a beques d'investigació.
  4. Es va introduir el marc «Conèixer, prevenir, reparar» per administrar metadades sobre la reparació de vulnerabilitats, monitoritzar correccions, enviar notificacions sobre noves vulnerabilitats, mantenir una base de dades amb informació sobre vulnerabilitats, rastrejar vulnerabilitats a dependències i analitzar el risc de manifestació de vulnerabilitat a través de dependències.

¿Com instal·lar o actualitzar a la nova versió de Google Chrome?

El primer que han de fer és verificar si l'actualització ja es troba disponible, Per això t'has d'adreçar a chrome: // settings / help i t'apareixerà la notificació que hi ha una actualització.

En cas que no sigui així hauràs de tancar el teu navegador i han de descarregar el paquet des de la pàgina oficial de Google Chrome, pel que hauran de dirigir-se a l'enllaç per obtenir el paquet.

O des de la terminal amb:

[Sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]

Feta la descàrrega de l'paquet poden realitzar la instal·lació directa amb el seu gestor de paquets preferit, o des de la terminal poden fer-ho teclejant la següent comanda:

[Sourcecode text = "bash"] suo dpkg -i google-chrome-stable_current_amd64.deb [/ sourcecode]

I en cas de tenir problemes amb les dependències, aquestes les soluciones teclejant la següent comanda:

[Sourcecode text = "bash"] sudo apt install -f [/ sourcecode]

Per al cas dels sistemes amb suport per a paquets RPM com ara CentOS, RHEL, Fedora, openSUSE i derivats han de de descarregar el paquet rpm, el qual poden obtenir des del següent enllaç. 

Feta la descàrrega han d'instal·lar el paquet amb el seu gestor de paquets preferit o des de la terminal ho poden fer amb la següent comanda:

[Sourcecode text = "bash"] suo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]

Per al cas d'Arch Linux i sistemes derivats d'aquest, com ara Manjaro, Antergos i altres, podem instal·lar l'aplicació des dels repositoris de AUR.

Simplement han de teclejar a la terminal la següent comanda:

[Sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   sense nom va dir
    fa 3 anys

    Pel simple fet de ser de codi tancat ja és en si mateix insegur, no val la pena perdre el temps fent servir un programari així havent alternatives lliures.

    Respondre a nonamed