Chrome 88.0.4324.150 ratkaisee nollapäivän haavoittuvuuden

Darkcrizt

4 minuuttia

Kaksi päivää Chrome-korjausversion julkaisun jälkeen kriittisen haavoittuvuuden poistamisella, Google ilmoitti uuden päivityksen julkaisemisesta Chrome 88.0.4324.150, joka korjaa haavoittuvuuden CVE-2021-21148, jota hakkerit ovat jo käyttäneet hyödyntämisessä (0-päivä).

Yksityiskohtia ei ole vielä paljastettu, haavoittuvuuden tiedetään johtuvan vain V8 JavaScript -moottorin pinon ylivuotosta.

Tietoja Chromessa korjatusta haavoittuvuudesta

Jotkut analyytikot spekuloida, että haavoittuvuutta käytettiin hyödyntämisessä, jota käytettiin ZINC-hyökkäyksessä tammikuun lopulla turvallisuustutkijoita vastaan ​​(viime vuonna fiktiivistä tutkijaa mainostettiin Twitterissä ja erilaisissa sosiaalisissa verkostoissa, mikä sai aluksi positiivisen maineen lähettämällä arvosteluja ja artikkeleita uusista haavoittuvuuksista, mutta lähettämällä toisen artikkelin käytin hyväksikäyttöä päivä 0 -heikkouteen joka heittää koodin järjestelmään, kun linkkiä napsautetaan Chrome for Windowsissa).

Ongelmalle on annettu korkea, mutta ei kriittinen vaaratasoToisin sanoen on osoitettu, että haavoittuvuus ei salli selaimen kaikkien suojaustasojen ohittamista eikä riitä koodin suorittamiseen järjestelmässä hiekkalaatikkoympäristön ulkopuolella.

Itse Chromen haavoittuvuus ei salli hiekkalaatikkoympäristön ohittamista, ja täysimittaiseen hyökkäykseen tarvitaan toinen haavoittuvuus käyttöjärjestelmässä.

Lisäksi, tietoturvaan liittyy useita Google-viestejä jotka ovat ilmestyneet äskettäin:

  1. Raportti hyökkäyksistä, joilla on 0. päivän haavoittuvuuksia Project Zero -tiimi tunnisti viime vuonna. Artikkelissa on tilastoja, jotka osoittavat, että 25% haavoittuvuuksista Tutkittu päivä 0 liittyi suoraan aiemmin julkistettuihin ja korjattuihin haavoittuvuuksiin, toisin sanoen päivän 0 hyväksikäyttäjien kirjoittajat löysivät uuden hyökkäysvektorin puutteellisen täydellisen tai huonolaatuisen korjauksen vuoksi (esimerkiksi heikossa asemassa olevat ohjelmakehittäjät korjaavat usein vain erityisen tai vain teeskennellä korjaukseksi pääsemättä ongelman ytimeen).
    Nämä nollapäivän haavoittuvuudet olisi mahdollisesti voitu estää tutkimalla ja korjaamalla haavoittuvuudet.
  2. Raportti maksuista, joita Google maksaa tutkijoille tietoturva haavoittuvuuksien tunnistamiseksi. Vuonna 6.7 maksettiin vakuutusmaksuja yhteensä 2020 miljoonaa dollaria, mikä on 280,000 2019 dollaria enemmän kuin vuonna 2018 ja melkein kaksinkertainen vuoteen 662 verrattuna. Palkintoja maksettiin 132.000. Suurin palkinto oli XNUMX XNUMX dollaria.
  3. 1,74 miljoonaa dollaria käytettiin Android-alustan tietoturvaan liittyviin maksuihin, 2,1 miljoonaa dollaria - Chrome, 270 tuhatta dollaria - Google Play ja 400 tuhatta dollaria tutkimusapurahoihin.
  4. 'Tiedä, estä, korjaa' -kehys otettiin käyttöön hallita haavoittuvuuskorjausten metatietoja, seurata korjauksia, lähettää ilmoituksia uusista haavoittuvuuksista, ylläpitää tietokantaa, joka sisältää tietoja haavoittuvuuksista, jäljittää haavoittuvuudet riippuvuuksiin ja analysoida haavoittuvuuksien ilmentymisriskiä riippuvuuksien kautta.

Kuinka asentaa tai päivittää Google Chromen uusi versio?

Ensimmäinen asia on tarkista, onko päivitys jo saatavilla, sitä varten sinun täytyy mennä chrome: // settings / help ja näet ilmoituksen päivityksen olemassaolosta.

Jos näin ei ole, sinun on suljettava selain ja heidän on ladattava paketti viralliselta Google Chrome -sivulta, joten heidän on mentävä osoitteeseen seuraavaan linkkiin saadaksesi paketin.

Tai terminaalista:

[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]

Valmis paketin lataus he voivat tehdä suoran asennuksen haluamansa paketinhallinnan kanssa, tai terminaalista he voivat tehdä sen kirjoittamalla seuraavan komennon:

[lähdekooditeksti = "bash"] sudo dpkg -i google-chrome-stabil_current_amd64.deb [/ lähdekoodi]

Ja jos sinulla on ongelmia riippuvuuksien kanssa, voit ratkaista ne kirjoittamalla seuraavan komennon:

[lähdekooditeksti = "bash"] sudo apt install -f [/ lähdekoodi]

Jos järjestelmässä on tuki RPM-paketeille, kuten CentOS, RHEL, Fedora, openSUSE ja johdannaiset, sinun on ladattava rpm-paketti, joka voidaan saada seuraavasta linkistä. 

Valmis lataus heidän on asennettava paketti haluamallaan paketinhallinnalla tai terminaalista he voivat tehdä sen seuraavalla komennolla:

[sourcecode text = "bash"] sudo rpm -i google-chrome-stabil_current_x86_64.rpm [/ sourcecode]

Arch Linuxin ja siitä johdettujen järjestelmien, kuten Manjaro, Antergos ja muut, tapauksessa voimme asentaa sovelluksen AUR-arkistoista.

Heidän on yksinkertaisesti kirjoitettava seuraava komento päätelaitteeseen:

[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   nimettömänä dijo
    sitten 3 vuotta

    Yksinkertaisen suljetun lähdekoodin takia se on jo itsessään epävarma, joten ei kannata tuhlata aikaa tällaisten ohjelmistojen käyttämisellä, koska on olemassa ilmaisia ​​vaihtoehtoja.

    Vastaa nonamed