Chrome 88.0.4324.150 løser en nul dags sårbarhed

Darkcrizt

1 Kommentar

To dage efter frigivelsen af ​​en fixer-version af Chrome med fjernelsen af ​​den kritiske sårbarhed, Google annoncerede frigivelsen af ​​en anden opdatering til Chrome 88.0.4324.150, hvilken løser sårbarhed CVE-2021-21148, der allerede er brugt af hackere i bedrifter (0-dages).

Detaljer er endnu ikke afsløret, sårbarheden er kun kendt for at være forårsaget af et stackoverløb i V8 JavaScript-motoren.

Om sårbarheden, der er rettet i Chrome

Nogle analytikere spekulere i, at sårbarheden blev brugt i en udnyttelse, der blev brugt i ZINC-angrebet i slutningen af ​​januar mod sikkerhedsforskere (sidste år blev en fiktiv forsker forfremmet på Twitter og forskellige sociale netværk, der oprindeligt fik et positivt omdømme ved at sende anmeldelser og artikler om nye sårbarheder, men ved at sende en anden artikel brugte jeg en udnyttelse med en dag 0 sårbarhed der kaster kode ind i systemet, når der klikkes på et link i Chrome til Windows).

Problemet tildeles et højt, men ikke kritisk fareniveauMed andre ord er det angivet, at sårbarheden ikke tillader at omgå alle niveauer af browserbeskyttelse og ikke er tilstrækkelig til at udføre kode på systemet uden for sandkassemiljøet.

Sårbarheden i selve Chrome tillader ikke omgåelse af sandkassemiljøet, og for et fuldt angreb kræves en anden sårbarhed i operativsystemet.

Derudover der er flere google indlæg relateret til sikkerhed der er dukket op for nylig:

  1. En rapport om udnyttelser med dag 0 sårbarheder identificeret af Project Zero-teamet sidste år. Artiklen indeholder statistikker, der 25% af sårbarhederne Undersøgelser om 0-dages udnyttelse var direkte relateret til tidligere offentliggjorte og faste sårbarheder, det vil sige, 0-dages udnyttelsesforfattere fandt en ny angrepsvektor på grund af en utilstrækkelig komplet eller dårlig kvalitet (f.eks. Sårbare programudviklere, som de ofte retter et specielt tilfælde eller bare foregive at være en løsning uden at komme til roden af ​​problemet).
    Disse nul-dags sårbarheder kunne potentielt have været forhindret med yderligere undersøgelse og afhjælpning af sårbarhederne.
  2. Rapport om de gebyrer, som Google betaler til forskere sikkerhed for at identificere sårbarheder. I alt blev der udbetalt 6.7 millioner dollars i præmier i 2020, hvilket er 280,000 dollars mere end i 2019 og næsten det dobbelte af 2018. I alt blev der udbetalt 662 præmier. Den største præmie var $ 132.000.
  3. 1,74 millioner dollars blev brugt på betalinger relateret til sikkerheden på Android-platformen, 2,1 millioner dollars - Chrome, 270 tusind dollars - Google Play og 400 tusind dollars til forskningsstipendier.
  4. Rammen 'Know, Prevent, Repair' blev introduceret til at administrere metadata til sårbarhedsrettelser, overvåge rettelser, sende underretninger om nye sårbarheder, vedligeholde en database med oplysninger om sårbarheder, spore sårbarheder til afhængigheder og analysere risikoen for sårbarhedsmanifestation gennem afhængigheder.

Hvordan installeres eller opdateres til den nye version af Google Chrome?

Den første ting at gøre er kontrollere, om opdateringen allerede er tilgængelig, for det du skal gå til chrome: // settings / help og du vil se meddelelsen om, at der er en opdatering.

Hvis dette ikke er tilfældet, skal du lukke din browser, og de skal downloade pakken fra den officielle Google Chrome-side, så de skal gå til til følgende link for at hente pakken.

Eller fra terminalen med:

[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]

Udført download af pakken de kan foretage direkte installation med deres foretrukne pakkehåndtering, eller fra terminalen kan de gøre det ved at skrive følgende kommando:

[sourcecode text = "bash"] sudo dpkg -i google-chrome-stable_current_amd64.deb [/ sourcecode]

Og hvis du har problemer med afhængigheder, kan du løse dem ved at skrive følgende kommando:

[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]

I tilfælde af systemer med understøttelse af RPM-pakker som CentOS, RHEL, Fedora, openSUSE og derivater, skal du downloade rpm-pakken, som kan fås fra følgende link. 

Udført download de skal installere pakken med deres foretrukne pakkehåndtering eller fra terminalen kan de gøre det med følgende kommando:

[sourcecode text = "bash"] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]

I tilfælde af Arch Linux og systemer, der stammer fra det, såsom Manjaro, Antergos og andre, kan vi installere applikationen fra AUR-arkiverne.

De skal blot skrive følgende kommando i terminalen:

[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]

En kommentar, lad din

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   ikke navngivet sagde han
    siden 3 år

    Ved den enkle kendsgerning at være lukket kilde er det allerede usikkert i sig selv, det er ikke værd at spilde tid på at bruge sådan software, da der er gratis alternativer.

    Besvar ikke-navngivet