Zwei Tage nach der Veröffentlichung einer Fixer-Version von Chrome mit der Beseitigung der kritischen SicherheitslückeGoogle kündigte die Veröffentlichung eines weiteren Updates an für Chrome 88.0.4324.150, die behebt die Sicherheitslücke CVE-2021-21148, die bereits von Hackern in Exploits verwendet wird (0 Tage).
Details müssen noch bekannt gegeben werden. Es ist bekannt, dass die Sicherheitsanfälligkeit nur durch einen Stapelüberlauf in der V8-JavaScript-Engine verursacht wird.
Informationen zur in Chrome behobenen Sicherheitsanfälligkeit
Einige Analysten Spekulieren Sie, dass die Sicherheitsanfälligkeit in einem Exploit verwendet wurde, der beim ZINC-Angriff verwendet wurde Ende Januar gegen Sicherheitsforscher (letztes Jahr wurde ein fiktiver Forscher auf Twitter und in verschiedenen sozialen Netzwerken beworben, der zunächst durch die Veröffentlichung von Rezensionen und Artikeln zu neuen Sicherheitslücken einen positiven Ruf erlangte. Durch die Veröffentlichung eines weiteren Artikels verwendete ich jedoch einen Exploit mit einer Sicherheitslücke von Tag 0 das wirft Code in das System, wenn in Chrome für Windows auf einen Link geklickt wird).
Dem Problem ist eine hohe, aber nicht kritische Gefährdungsstufe zugeordnetMit anderen Worten, es wird angezeigt, dass die Sicherheitsanfälligkeit nicht alle Ebenen des Browserschutzes umgeht und nicht ausreicht, um Code auf dem System außerhalb der Sandbox-Umgebung auszuführen.
Die Sicherheitsanfälligkeit in Chrome selbst ermöglicht nicht das Umgehen der Sandbox-Umgebung. Für einen vollständigen Angriff ist eine weitere Sicherheitsanfälligkeit im Betriebssystem erforderlich.
Zusätzlich Es gibt mehrere Google-Beiträge zum Thema Sicherheit das sind vor kurzem erschienen:
- Ein Bericht über Exploits mit Schwachstellen von Tag 0 vom Project Zero-Team im letzten Jahr identifiziert. Der Artikel enthält Statistiken über 25% der Sicherheitslücken Der untersuchte Tag 0 stand in direktem Zusammenhang mit zuvor öffentlich bekannt gegebenen und behobenen Schwachstellen. Das heißt, die Autoren der Exploits von Tag 0 fanden einen neuen Angriffsvektor aufgrund einer unzureichend vollständigen oder qualitativ minderwertigen Korrektur (z. B. anfällige Programmentwickler, die häufig nur eine spezielle Lösung beheben) Fall oder geben Sie einfach vor, eine Lösung zu sein, ohne dem Problem auf den Grund zu gehen.
Diese Zero-Day-Schwachstellen hätten möglicherweise durch weitere Untersuchung und Behebung der Schwachstellen verhindert werden können. - Bericht über die Gebühren, die Google an Forscher zahlt Sicherheit, um Schwachstellen zu identifizieren. Im Jahr 6.7 wurden Prämien in Höhe von insgesamt 2020 Mio. USD gezahlt, das sind 280,000 USD mehr als im Jahr 2019 und fast doppelt so viel wie im Jahr 2018. Insgesamt wurden 662 Preise gezahlt. Der größte Preis war $ 132.000.
- 1,74 Millionen US-Dollar wurden für Zahlungen im Zusammenhang mit der Sicherheit von Android-Plattformen ausgegeben, 2,1 Millionen US-Dollar für Chrome, 270 US-Dollar für Google Play und 400 US-Dollar für Forschungsstipendien.
- Das Framework "Wissen, Verhindern, Reparieren" wurde eingeführt Verwalten von Metadaten zur Behebung von Sicherheitsanfälligkeiten, Überwachen von Korrekturen, Senden von Benachrichtigungen über neue Sicherheitsanfälligkeiten, Verwalten einer Datenbank mit Informationen zu Sicherheitsanfälligkeiten, Verfolgen von Sicherheitsanfälligkeiten anhand von Abhängigkeiten und Analysieren des Risikos der Manifestation von Sicherheitsanfälligkeiten durch Abhängigkeiten.
Wie installiere oder aktualisiere ich auf die neue Version von Google Chrome?
Das erste, was zu tun ist, ist Überprüfen Sie, ob das Update bereits verfügbar istdafür Sie müssen zu chrome: // settings / help gehen und Sie sehen die Benachrichtigung, dass ein Update vorliegt.
Ist dies nicht der Fall, müssen Sie Ihren Browser schließen und das Paket von der offiziellen Google Chrome-Seite herunterladen Klicken Sie auf den folgenden Link, um das Paket zu erhalten.
Oder vom Terminal mit:
[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]
Fertig das Herunterladen des Pakets Sie können die direkte Installation mit ihrem bevorzugten Paketmanager durchführen. oder vom Terminal aus können sie dies tun, indem sie den folgenden Befehl eingeben:
[sourcecode text = "bash"] sudo dpkg -i google-chrome-stabile_current_amd64.deb [/ sourcecode]
Und falls Sie Probleme mit den Abhängigkeiten haben, können Sie diese lösen, indem Sie den folgenden Befehl eingeben:
[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]
Bei Systemen mit Unterstützung für RPM-Pakete wie CentOS, RHEL, Fedora, openSUSE und Derivate müssen Sie das RPM-Paket herunterladen. Dies kann über den folgenden Link erhalten werden.
Fertig den Download Sie müssen das Paket mit ihrem bevorzugten Paketmanager installieren oder vom Terminal aus können sie dies mit dem folgenden Befehl tun:
[sourcecode text = "bash"] sudo rpm -i google-chrome-stabile_current_x86_64.rpm [/ sourcecode]
Bei Arch Linux und davon abgeleiteten Systemen wie Manjaro, Antergos und anderen können wir die Anwendung aus den AUR-Repositorys installieren.
Sie müssen lediglich den folgenden Befehl in das Terminal eingeben:
[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]
Aufgrund der einfachen Tatsache, dass es sich um eine geschlossene Quelle handelt, ist es an sich bereits unsicher. Es lohnt sich nicht, Zeit mit der Verwendung solcher Software zu verschwenden, da es kostenlose Alternativen gibt.