Kaks päeva pärast Chrome'i parandusversiooni ilmumist koos kriitilise haavatavuse eemaldamisega, Teatas Google uue värskenduse väljaandmisest Chrome'i jaoks 88.0.4324.150, mis fikseerib häkkerite poolt juba kasutuses olnud haavatavuse CVE-2021-21148 (0-päevane).
Üksikasjad pole veel avaldatud, haavatavuse põhjustab teadaolevalt ainult V8 JavaScripti mootori virna ülevool.
Teave Chrome'is fikseeritud haavatavuse kohta
Mõned analüütikud spekuleerivad, et haavatavust kasutati ZINC-rünnakus kasutatud ekspluateerimisel jaanuari lõpu turvateadlaste vastu (eelmisel aastal reklaamiti fiktiivset teadlast Twitteris ja erinevates sotsiaalvõrgustikes, kes saavutas esialgu positiivse maine, postitades arvustusi ja artikleid uutest haavatavustest, kuid teise artikli postitades kasutasin ära 0. päevaga haavatavust mis viskab süsteemi süsteemi, kui klõpsatakse lingil Chrome for Windows).
Probleemile on määratud kõrge, kuid mitte kriitiline ohutaseTeisisõnu viidatakse sellele, et haavatavus ei võimalda mööda minna kõigist brauseri kaitse tasemetest ja pole piisav koodi käivitamiseks süsteemis väljaspool liivakasti keskkonda.
Chrome'i enda haavatavus ei võimalda liivakasti keskkonnast mööda minna ja täiemahulise rünnaku jaoks on operatsioonisüsteemis vaja veel üht haavatavust.
Lisaks turvalisusega on seotud mitu Google'i postitust mis on hiljuti ilmunud:
- Aruanne 0. päeva haavatavustega ärakasutamise kohta projekti Zero meeskond tuvastas eelmisel aastal. Artiklis esitatakse statistika, et 25% haavatavustest Uuritud 0-päevased ekspluateerimised olid otseselt seotud varem avalikustatud ja fikseeritud haavatavustega, see tähendab, et 0-päevase ekspluateerimise autorid leidsid ebapiisavalt täieliku või ebakvaliteetse parandamise tõttu uue rünnakuvektori (näiteks haavatavad programmiarendajad, kelle nad sageli parandavad lihtsalt erijuhtum või teeskle lihtsalt lahendust, ilma et jõuaksite probleemi juureni).
Neid nullpäevaseid haavatavusi oleks potentsiaalselt võimalik ära hoida haavatavuste täiendava uurimise ja heastamisega. - Aruanne tasude kohta, mida Google teadlastele maksab turvalisus haavatavuste tuvastamiseks. 6.7. aastal maksti preemiaid kokku 2020 miljonit dollarit, mis on 280,000 2019 dollarit rohkem kui 2018. aastal ja peaaegu kahekordistub 662. aastaga. Kokku maksti 132.000 auhinda. Suurim auhind oli XNUMX XNUMX dollarit.
- 1,74 miljonit dollarit kulutati Androidi platvormi turvalisusega seotud maksetele, 2,1 miljonit dollarit - Chrome, 270 tuhat dollarit - Google Play ja 400 tuhat dollarit uurimistoetustele.
- Võeti kasutusele raamistik „Tea, enneta, paranda” haavatavusparanduste metaandmete haldamiseks, paranduste jälgimiseks, uute haavatavuste kohta teadete saatmiseks, nõrkade kohtade kohta andmebaasi pidamiseks, haavatavuste sõltuvusteni jõudmiseks ja haavatavuse avaldumise riski sõltuvuste kaudu analüüsimiseks.
Kuidas installida või uuendada Google Chrome'i?
Esimene asi, mida teha, on kontrollige, kas värskendus on juba saadavalselle eest peate minema saidile chrome: // settings / help ja näete teadet värskenduse olemasolu kohta.
Kui see pole nii, peate oma brauseri sulgema ja nad peavad paketi alla laadima ametlikult Google Chrome'i lehelt, nii et nad peavad minema paketi saamiseks järgmisele lingile.
Või terminalist:
[lähtekoodi tekst = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]
Paketi allalaadimine on tehtud nad saavad otse installida oma eelistatud paketihalduriga, või terminalist saavad nad seda teha, tippides järgmise käsu:
[lähtekoodi tekst = "bash"] sudo dpkg -i google-chrome-stabil_current_amd64.deb [/ lähtekood]
Ja kui teil on probleeme sõltuvustega, saate need lahendada, tippides järgmise käsu:
[lähtekoodi tekst = "bash"] sudo apt install -f [/ lähtekood]
RPM-pakettide (nt CentOS, RHEL, Fedora, openSUSE ja derivaadid) toega süsteemide puhul peate alla laadima paketi rpm, mille saab järgmiselt lingilt.
Allalaadimine on tehtud nad peavad paketi installima oma eelistatud paketihalduriga või terminalist saavad nad seda teha järgmise käsuga:
[lähtekoodi tekst = "bash"] sudo rpm -i google-chrome-stabil_current_x86_64.rpm [/ lähtekood]
Arch Linuxi ja sellest tuletatud süsteemide, nagu Manjaro, Antergos jt, puhul saame rakenduse installida AUR-i hoidlatest.
Nad peavad lihtsalt terminali sisestama järgmise käsu:
[lähtekoodi tekst = "bash"] jah -S google-chrome [/ lähtekood]
Lihtsalt kinnise lähtekoodiga oleku tõttu on see juba iseenesest ebakindel, ei tasu sellise tarkvara kasutamisega aega raisata, kuna on olemas tasuta alternatiive.