„Chrome 88.0.4324.150“ pašalina nulinės dienos pažeidžiamumą

Praėjus dviem dienoms po korekcinės „Chrome“ versijos paskelbimo, pašalinant kritinį pažeidžiamumą, Google paskelbė apie kito atnaujinimo paleidimą skirta Chrome 88.0.4324.150, kuri pataiso CVE-2021-21148 pažeidžiamumą, kurį įsilaužėliai jau naudoja išnaudojimuose (0 diena).

Detalės kol kas neatskleidžiamos, žinoma tik tiek, kad pažeidžiamumą sukelia V8 JavaScript variklio kamino perpildymas.

Apie „Chrome“ ištaisytą pažeidžiamumą

Kai kurie analitikai Jie spėja, kad pažeidžiamumas buvo panaudotas išnaudojimui, naudotam ZINC atakoje nuo sausio pabaigos prieš saugumo tyrinėtojus (pernai „Twitter“ ir įvairiuose socialiniuose tinkluose buvo reklamuojamas fiktyvus tyrėjas, kuris iš pradžių pelnė teigiamą reputaciją skelbdamas apžvalgas ir straipsnius apie naujus pažeidžiamumus, tačiau paskelbdamas kitą straipsnį panaudojau išnaudojimą su 0 dienų pažeidžiamumas, paleidžiantis kodą sistemoje, kai „Chrome“, skirta „Windows“, paspaudžiama nuoroda).

Problemai priskiriamas aukštas, bet ne kritinis pavojaus lygist. y., tai rodo, kad pažeidžiamumas neleidžia apeiti visų naršyklės apsaugos lygių ir nėra pakankamas kodui vykdyti sistemoje už smėlio dėžės aplinkos ribų.

Pati „Chrome“ pažeidžiamumas neleidžia apeiti smėlio dėžės aplinkos, o visavertei atakai reikalingas kitas operacinės sistemos pažeidžiamumas.

Be to, Yra keletas „Google“ įrašų, susijusių su sauga kurie neseniai pasirodė:

  1. Ataskaita apie išnaudojimus su 0 dienų pažeidžiamumu pernai nustatė „Project Zero“ komanda. Straipsnyje pateikiama statistika, kad pažeidžiamumų 25 proc Tirti 0 dienų išnaudojimai buvo tiesiogiai susiję su anksčiau viešai atskleistomis ir pataisytomis pažeidžiamumu, tai yra, 0 dienų išnaudojimų autoriai rado naują atakos vektorių dėl nepakankamai užbaigto arba prastos kokybės pataisymo (pvz., pažeidžiamų programų kūrėjai Jie dažnai išspręsti tik specialų atvejį arba tiesiog skirti kaip pataisymas, nesikreipiant į problemos esmę).
    Šių nulinės dienos pažeidžiamumų būtų buvę galima išvengti nuodugniau ištyrus ir ištaisius pažeidžiamumą.
  2. Ataskaita apie mokesčius, kuriuos „Google“ moka mokslininkams pažeidžiamumui nustatyti. Iš viso 6.7 m. buvo išmokėta 2020 ​​mln. USD įmokų, tai yra 280,000 2019 USD daugiau nei 2018 m. ir beveik dvigubai daugiau nei 662 m. Iš viso buvo išmokėti 132.000 apdovanojimai. Didžiausias prizas buvo XNUMX XNUMX USD.
  3. 1,74 mln. USD išleista mokėjimams, susijusiems su „Android“ platformos saugumu, 2,1 mln. USD – „Chrome“, 270 tūkst. USD – „Google Play“ ir 400 tūkst.
  4. Pristatyta sistema „Pažink, užkirsk kelią, taisyk“. tvarkyti metaduomenis apie pažeidžiamumo pataisymus, stebėti pataisymus, siųsti pranešimus apie naujus pažeidžiamumus, tvarkyti duomenų bazę su informacija apie pažeidžiamumą, atsekti pažeidžiamumus iki priklausomybių ir analizuoti pažeidžiamumo pasireiškimo per priklausomybes riziką.

Kaip įdiegti ar atnaujinti naują „Google Chrome“ versiją?

Pirmas dalykas, kurį reikia padaryti, yra patikrinkite, ar atnaujinimas jau yra, už jį turite eiti į chrome: // settings / help ir pamatysite pranešimą, kad yra atnaujinimas.

Jei taip nėra, turite uždaryti savo naršyklę ir jie turi atsisiųsti paketą iš oficialaus „Google Chrome“ puslapio, taigi jie turi eiti Norėdami gauti paketą, spustelėkite šią nuorodą.

Arba iš terminalo su:

[sourcecode text="bash"]wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]

Atliktas paketo atsisiuntimas jie gali atlikti tiesioginį diegimą su savo pageidaujamu paketų tvarkytuvu, arba iš terminalo jie gali tai padaryti įvesdami šią komandą:

[sourcecode text="bash"]sudo dpkg -i google-chrome-stable_current_amd64.deb[/sourcecode]

Ir jei turite problemų dėl priklausomybių, galite jas išspręsti įvesdami šią komandą:

[sourcecode text="bash"]sudo apt install -f[/sourcecode]

Jei yra sistemos, palaikančios RPM paketus, tokius kaip „CentOS“, „RHEL“, „Fedora“, „openSUSE“ ir išvestinės priemonės, turite atsisiųsti „rpm“ paketą, kurį galima gauti iš šios nuorodos. 

Atliktas atsisiuntimas jie turi įdiegti paketą su savo pageidaujamu paketų tvarkytuvu arba iš terminalo jie gali tai padaryti naudodami šią komandą:

[sourcecode text="bash"]sudo rpm -i google-chrome-stable_current_x86_64.rpm[/sourcecode]

„Arch Linux“ ir iš jo gautų sistemų, tokių kaip „Manjaro“, „Antergos“ ir kt., Programą galime įdiegti iš AUR saugyklų.

Jie tiesiog turi įvesti šią komandą terminale:

[sourcecode text="bash"]yay -S google-chrome[/sourcecode]

Komentaras, palikite savo

Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Atsakingas už duomenis: Miguel Ángel Gatón
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.

  1.   bevardis sakė

    Paprastas uždarojo kodo faktas jau pats savaime yra nesaugus, neverta gaišti laiko naudojant tokią programinę įrangą, kai yra nemokamų alternatyvų.