Το Chrome 88.0.4324.150 επιλύει μια ευπάθεια μηδενικής ημέρας

Darkcrizt

4 λεπτά

Δύο ημέρες μετά την κυκλοφορία μιας έκδοσης κώδικα του Chrome με την κατάργηση της κρίσιμης ευπάθειας, Η Google ανακοίνωσε την κυκλοφορία μιας άλλης ενημέρωσης για το Chrome 88.0.4324.150, το οποίο επιδιορθώνει την ευπάθεια CVE-2021-21148 που χρησιμοποιείται ήδη από χάκερ σε εκμεταλλεύσεις (0-ημέρα).

Οι λεπτομέρειες δεν έχουν ακόμη αποκαλυφθεί, η ευπάθεια είναι γνωστό ότι προκαλείται μόνο από υπερχείλιση στοίβας στη μηχανή V8 JavaScript.

Σχετικά με την ευπάθεια που επιδιορθώθηκε στο Chrome

Μερικοί αναλυτές να υποθέσουμε ότι η ευπάθεια χρησιμοποιήθηκε σε ένα exploit που χρησιμοποιήθηκε στην επίθεση ZINC στα τέλη Ιανουαρίου εναντίον ερευνητών ασφαλείας (πέρυσι ένας πλασματικός ερευνητής προωθήθηκε στο Twitter και σε διάφορα κοινωνικά δίκτυα, αρχικά κέρδισε μια θετική φήμη μέσω δημοσίευσης κριτικών και άρθρων σχετικά με νέες ευπάθειες, αλλά δημοσιεύοντας ένα άλλο άρθρο, χρησιμοποίησα ένα exploit με μια ευπάθεια 0 που ρίχνει κώδικα στο σύστημα όταν κάνετε κλικ σε έναν σύνδεσμο στο Chrome για Windows).

Το πρόβλημα έχει υψηλό αλλά όχι κρίσιμο επίπεδο κινδύνουΜε άλλα λόγια, υποδεικνύεται ότι η ευπάθεια δεν επιτρέπει την παράκαμψη όλων των επιπέδων προστασίας του προγράμματος περιήγησης και δεν επαρκεί για την εκτέλεση κώδικα στο σύστημα εκτός του περιβάλλοντος sandbox.

Η ευπάθεια στο ίδιο το Chrome δεν επιτρέπει την παράκαμψη του περιβάλλοντος του περιβάλλοντος δοκιμών και για μια πλήρη επίθεση απαιτείται άλλη ευπάθεια στο λειτουργικό σύστημα.

Επιπλέον, υπάρχουν πολλές αναρτήσεις google που σχετίζονται με την ασφάλεια που εμφανίστηκαν πρόσφατα:

  1. Μια αναφορά για εκμεταλλεύσεις με ευπάθειες ημέρας 0 αναγνωρίστηκε από την ομάδα του Project Zero πέρυσι. Το άρθρο παρέχει στατιστικά στοιχεία ότι το 25% των τρωτών σημείων Τα 0-day exploits που μελετήθηκαν σχετίζονται άμεσα με προηγούμενα δημοσιευμένα και σταθερά τρωτά σημεία, δηλαδή, οι 0-day exploit συγγραφείς βρήκαν ένα νέο φορέα επίθεσης λόγω μιας ανεπαρκούς πλήρους ή κακής ποιότητας αποκατάστασης (για παράδειγμα, ευάλωτων προγραμματιστών προγραμμάτων που συχνά διορθώνουν μόνο μια ειδική περίπτωση ή απλώς να προσποιείται ότι είναι μια λύση χωρίς να φτάσουμε στη ρίζα του προβλήματος).
    Αυτές οι ευπάθειες μηδενικής ημέρας θα μπορούσαν ενδεχομένως να είχαν αποτραπεί με περαιτέρω διερεύνηση και αποκατάσταση των τρωτών σημείων.
  2. Αναφέρετε τα τέλη που καταβάλλει η Google στους ερευνητές ασφάλεια για τον εντοπισμό τρωτών σημείων. Συνολικά καταβλήθηκαν ασφάλιστρα 6.7 εκατομμυρίων δολαρίων το 2020, ποσό που είναι 280,000 δολάρια περισσότερο από το 2019 και σχεδόν διπλάσιο από το ποσό το 2018. Καταβλήθηκαν συνολικά 662 βραβεία. Το μεγαλύτερο βραβείο ήταν 132.000 $.
  3. 1,74 εκατομμύρια $ δαπανήθηκαν για πληρωμές που σχετίζονται με την ασφάλεια της πλατφόρμας Android, 2,1 εκατομμύρια $ - Chrome, 270 χιλιάδες $ - Google Play και 400 χιλιάδες $ για επιχορηγήσεις έρευνας.
  4. Παρουσιάστηκε το πλαίσιο «Γνωρίστε, Αποτρέψτε, Επισκευή» για τη διαχείριση μεταδεδομένων επιδιορθώσεων ευπάθειας, παρακολούθησης επιδιορθώσεων, αποστολής ειδοποιήσεων σχετικά με νέες ευπάθειες, συντήρηση βάσης δεδομένων με πληροφορίες για ευπάθειες, εντοπισμός ευπάθειας σε εξαρτήσεις και ανάλυση του κινδύνου εκδήλωσης ευπάθειας μέσω εξαρτήσεων.

Πώς να εγκαταστήσετε ή να ενημερώσετε τη νέα έκδοση του Google Chrome;

Το πρώτο πράγμα που πρέπει να κάνετε είναι ελέγξτε εάν η ενημέρωση είναι ήδη διαθέσιμη, γι 'αυτό πρέπει να μεταβείτε στο chrome: // settings / help και θα δείτε την ειδοποίηση ότι υπάρχει ενημέρωση.

Εάν δεν συμβαίνει αυτό, πρέπει να κλείσετε το πρόγραμμα περιήγησής σας και πρέπει να πραγματοποιήσουν λήψη του πακέτου από την επίσημη σελίδα του Google Chrome, οπότε πρέπει να μεταβούν στη διεύθυνση στον παρακάτω σύνδεσμο για να λάβετε το πακέτο.

Ή από το τερματικό με:

[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]

Έγινε η λήψη του πακέτου μπορούν να κάνουν άμεση εγκατάσταση με τον προτιμώμενο διαχειριστή πακέτων, ή από το τερματικό μπορούν να το κάνουν πληκτρολογώντας την ακόλουθη εντολή:

[sourcecode text = "bash"] sudo dpkg -i google-chrome-stable_current_amd64.deb [/ sourcecode]

Και σε περίπτωση που έχετε προβλήματα με εξαρτήσεις, μπορείτε να τα λύσετε πληκτρολογώντας την ακόλουθη εντολή:

[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]

Στην περίπτωση συστημάτων με υποστήριξη για πακέτα RPM, όπως CentOS, RHEL, Fedora, openSUSE και παράγωγα, πρέπει να κατεβάσετε το πακέτο rpm, που μπορείτε να λάβετε από τον ακόλουθο σύνδεσμο. 

Έγινε η λήψη πρέπει να εγκαταστήσουν το πακέτο με τον προτιμώμενο διαχειριστή πακέτων ή από το τερματικό μπορούν να το κάνουν με την ακόλουθη εντολή:

[sourcecode text = "bash"] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]

Στην περίπτωση του Arch Linux και των συστημάτων που προέρχονται από αυτό, όπως τα Manjaro, Antergos και άλλα, μπορούμε να εγκαταστήσουμε την εφαρμογή από τα αποθετήρια AUR.

Απλώς πρέπει να πληκτρολογήσουν την ακόλουθη εντολή στο τερματικό:

[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.

  1.   χωρίς όνομα dijo
    πριν 3 χρόνια

    Λόγω του απλού γεγονότος ότι είναι κλειστή πηγή, είναι ήδη ανασφαλής από μόνη της, δεν αξίζει να χάνουμε χρόνο χρησιμοποιώντας τέτοιο λογισμικό, καθώς υπάρχουν δωρεάν εναλλακτικές λύσεις.

    Απάντηση σε nonamed