Dva dny po vydání opravené verze prohlížeče Chrome s odstraněním kritické chyby zabezpečení, Google oznámil vydání další aktualizace pro Chrome 88.0.4324.150, který opravuje chybu zabezpečení CVE-2021-21148, kterou již hackeři používají při zneužití (0 dní).
Podrobnosti zatím teprve budou odhaleny, je známo, že zranitelnost je způsobena pouze přetečením zásobníku v modulu JavaScript V8.
O chybě zabezpečení opravené v prohlížeči Chrome
Někteří analytici spekulují, že zranitelnost byla použita při zneužití použitém při útoku ZINC na konci ledna proti bezpečnostním výzkumníkům (loni byl fiktivní výzkumník povýšen na Twitter a různé sociální sítě, zpočátku si získal pozitivní pověst zveřejňováním recenzí a článků o nových zranitelnostech, ale zveřejněním dalšího článku jsem použil exploit se zranitelností 0 který vrhá kód do systému po kliknutí na odkaz v prohlížeči Chrome pro Windows).
Problém má vysokou, ale ne kritickou úroveň rizikaTo znamená, že tato chyba zabezpečení neumožňuje obejít všechny úrovně ochrany prohlížeče a není dostatečná ke spuštění kódu v systému mimo prostředí izolovaného prostoru.
Chyba zabezpečení v prohlížeči Chrome sama o sobě neumožňuje obejít prostředí izolovaného prostoru a pro plnohodnotný útok je v operačním systému vyžadována další chyba zabezpečení.
Navíc, existuje několik příspěvků Google souvisejících s bezpečností které se nedávno objevily:
- Zpráva o zneužití se zranitelností dne 0 identifikovaný týmem Project Zero v loňském roce. Tento článek poskytuje statistiky o 25% zranitelností studovaný den 0 přímo souvisel s dříve veřejně zveřejněnými a opravenými zranitelnostmi, to znamená, že autoři exploitů dne 0 našli nový vektor útoku kvůli nedostatečně úplné nebo špatné kvalitě opravy (například vývojáři zranitelných programů často speciální případ nebo jen předstírat, že jde o opravu, aniž byste se dostali ke kořeni problému).
Těmto zranitelnostem nulového dne bylo potenciálně možné zabránit dalším vyšetřováním a nápravou těchto zranitelností. - Zpráva o poplatcích, které Google platí výzkumným pracovníkům identifikovat zranitelná místa. V roce 6.7 bylo vyplaceno pojistné celkem 2020 milionu USD, což je o 280,000 2019 USD více než v roce 2018 a téměř dvojnásobek oproti roku 662. Bylo vyplaceno celkem 132.000 cen. Největší cena byla XNUMX XNUMX $.
- 1,74 milionu USD bylo vynaloženo na platby související se zabezpečením platformy Android, 2,1 milionu USD - Chrome, 270 400 USD - Google Play a XNUMX XNUMX USD na výzkumné granty.
- Byl představen rámec „Know, Prevent, Repair“ spravovat metadata o nápravě zranitelnosti, monitorovat opravy, odesílat oznámení o nových zranitelnostech, udržovat databázi s informacemi o zranitelnostech, sledovat zranitelnosti podle závislostí a analyzovat riziko projevu zranitelnosti pomocí závislostí.
Jak nainstalovat nebo aktualizovat na novou verzi Google Chrome?
První věc, kterou musíte udělat, je zkontrolujte, zda je aktualizace již k dispozici, pro to musíte jít na chrome: // settings / help a zobrazí se oznámení, že existuje aktualizace.
Pokud tomu tak není, musíte zavřít prohlížeč a musí stáhnout balíček z oficiální stránky Google Chrome, takže musí přejít na na následující odkaz získáte balíček.
Nebo z terminálu pomocí:
[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]
Hotovo stažení balíčku mohou provádět přímou instalaci pomocí svého preferovaného správce balíčků, nebo z terminálu to mohou udělat zadáním následujícího příkazu:
[sourcecode text = "bash"] sudo dpkg -i google-chrome-stable_current_amd64.deb [/ sourcecode]
A v případě problémů se závislostmi je můžete vyřešit zadáním následujícího příkazu:
[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]
V případě systémů s podporou balíků RPM, jako jsou CentOS, RHEL, Fedora, openSUSE a deriváty, musíte stáhnout balíček rpm, které lze získat z následujícího odkazu.
Hotovo stahování musí balíček nainstalovat pomocí svého preferovaného správce balíčků nebo z terminálu to mohou udělat pomocí následujícího příkazu:
[sourcecode text = "bash"] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]
V případě Arch Linuxu a systémů z něj odvozených, jako jsou Manjaro, Antergos a další, můžeme aplikaci nainstalovat z repozitářů AUR.
Jednoduše musí do terminálu zadat následující příkaz:
[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]
Vzhledem k prostému faktu, že je uzavřený zdroj, který je sám o sobě nejistý, nestojí za to ztrácet čas používáním takového softwaru, protože existují bezplatné alternativy.