Chrome 88.0.4324.150 risolve una vulnerabilità zero day

Darkcrizt

4 minuti

Due giorni dopo il rilascio di una versione fixer di Chrome con la rimozione della vulnerabilità critica, Google ha annunciato il rilascio di un altro aggiornamento per Chrome 88.0.4324.150, che risolve la vulnerabilità CVE-2021-21148 già utilizzata dagli hacker negli exploit (0 giorni).

I dettagli devono ancora essere rivelati, la vulnerabilità è nota solo per essere causata da un overflow dello stack nel motore JavaScript V8.

Informazioni sulla vulnerabilità risolta in Chrome

Alcuni analisti ipotizzano che la vulnerabilità sia stata utilizzata in un exploit utilizzato nell'attacco ZINC di fine gennaio contro i ricercatori di sicurezza (l'anno scorso un ricercatore fittizio è stato promosso su Twitter e vari social network, guadagnandosi inizialmente una reputazione positiva attraverso la pubblicazione di recensioni e articoli su nuove vulnerabilità, ma pubblicando un altro articolo, ho utilizzato un exploit con una vulnerabilità del giorno 0 che genera codice nel sistema quando si fa clic su un collegamento in Chrome per Windows).

Al problema viene assegnato un livello di pericolo elevato ma non criticoIn altre parole, è indicato che la vulnerabilità non consente di aggirare tutti i livelli di protezione del browser e non è sufficiente per eseguire codice sul sistema al di fuori dell'ambiente sandbox.

La vulnerabilità in Chrome stessa non consente di aggirare l'ambiente sandbox e, per un attacco in piena regola, è necessaria un'altra vulnerabilità nel sistema operativo.

Inoltre, ci sono diversi post di Google relativi alla sicurezza che sono apparsi di recente:

  1. Un rapporto sugli exploit con vulnerabilità del giorno 0 identificato dal team di Project Zero lo scorso anno. L'articolo fornisce statistiche che il 25% delle vulnerabilità il giorno 0 studiato erano direttamente correlati a vulnerabilità precedentemente divulgate pubblicamente e risolte, ovvero gli autori degli exploit del giorno 0 hanno trovato un nuovo vettore di attacco a causa di una correzione non sufficientemente completa o di scarsa qualità (ad esempio, gli sviluppatori di programmi vulnerabili spesso risolvono solo una speciale caso o semplicemente fingere di essere una soluzione senza arrivare alla radice del problema).
    Queste vulnerabilità zero-day avrebbero potuto essere potenzialmente prevenute con ulteriori indagini e rimedi delle vulnerabilità.
  2. Rapporto sulle tariffe che Google paga ai ricercatori sicurezza per identificare le vulnerabilità. Nel 6.7 sono stati pagati un totale di 2020 milioni di dollari di premi, ovvero 280,000 dollari in più rispetto al 2019 e quasi il doppio di quelli del 2018. Sono stati pagati 662 premi in totale. Il premio più grande è stato di $ 132.000.
  3. $ 1,74 milioni sono stati spesi per pagamenti relativi alla sicurezza della piattaforma Android, $ 2,1 milioni - Chrome, $ 270 mila - Google Play e $ 400 mila per borse di ricerca.
  4. È stato introdotto il framework "Know, Prevent, Repair" per gestire i metadati sulla riparazione delle vulnerabilità, monitorare le correzioni, inviare notifiche su nuove vulnerabilità, mantenere un database con informazioni sulle vulnerabilità, tracciare le vulnerabilità alle dipendenze e analizzare il rischio di manifestazione della vulnerabilità attraverso le dipendenze.

Come installare o aggiornare alla nuova versione di Google Chrome?

La prima cosa da fare è controlla se l'aggiornamento è già disponibile, per questo devi andare su chrome: // settings / help e vedrai la notifica che c'è un aggiornamento.

In caso contrario, è necessario chiudere il browser e devono scaricare il pacchetto dalla pagina ufficiale di Google Chrome, quindi devono andare al seguente collegamento per ottenere il pacchetto.

Oppure dal terminale con:

[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]

Completato il download del pacchetto possono eseguire l'installazione diretta con il loro gestore di pacchetti preferito, oppure dal terminale possono farlo digitando il seguente comando:

[sourcecode text = "bash"] sudo dpkg -i google-chrome-stable_current_amd64.deb [/ sourcecode]

E se hai problemi con le dipendenze, puoi risolverli digitando il seguente comando:

[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]

Nel caso di sistemi con supporto per pacchetti RPM come CentOS, RHEL, Fedora, openSUSE e derivati, è necessario scaricare il pacchetto rpm, che può essere ottenuto dal seguente collegamento. 

Fatto il download devono installare il pacchetto con il loro gestore di pacchetti preferito oppure da terminale possono farlo con il seguente comando:

[sourcecode text = "bash"] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]

Nel caso di Arch Linux e dei sistemi da esso derivati, come Manjaro, Antergos e altri, possiamo installare l'applicazione dai repository AUR.

Devono semplicemente digitare il seguente comando nel terminale:

[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]

Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   senza nome suddetto
    fa 3 anni

    Per il semplice fatto di essere closed source è già di per sé insicuro, non vale la pena sprecare tempo a utilizzare tale software in quanto esistono alternative gratuite.

    Rispondi a nonamed