Pārlūks Chrome 88.0.4324.150 novērš nulles dienas ievainojamību

Darkcrizt

4 Minutos

Divas dienas pēc Chrome labotāja versijas izlaišanas ar kritiskās ievainojamības noņemšanu, Google paziņoja par cita atjauninājuma izlaišanu pārlūkam Chrome 88.0.4324.150, kas izlabo ievainojamību CVE-2021-21148, ko jau hakeri izmantoja ekspluatācijā (0 dienu).

Sīkāka informācija vēl nav atklāta. Ir zināms, ka ievainojamību izraisa tikai kaudzes pārpilde V8 JavaScript dzinējā.

Par pārlūkā Chrome fiksēto ievainojamību

Daži analītiķi spekulēt, ka ievainojamība tika izmantota ekspluatācijā, kas tika izmantota ZINC uzbrukumā janvāra beigām pret drošības pētniekiem (pagājušajā gadā Twitter un dažādos sociālajos tīklos tika reklamēts fiktīvs pētnieks, kurš sākotnēji ieguva pozitīvu reputāciju, publicējot pārskatus un rakstus par jaunām ievainojamībām, bet, ievietojot citu rakstu, es izmantoju ekspluatāciju ar 0 dienas ievainojamību kas sistēmā iemet kodu, noklikšķinot uz saites pārlūkā Chrome for Windows).

Problēmai ir noteikts augsts, bet ne kritisks bīstamības līmenisCitiem vārdiem sakot, tiek norādīts, ka ievainojamība neļauj apiet visus pārlūka aizsardzības līmeņus un nav pietiekama, lai izpildītu kodu sistēmā ārpus smilškastes vides.

Pati Chrome ievainojamība neļauj apiet smilšu kastes vidi, un pilnvērtīgam uzbrukumam operētājsistēmā ir nepieciešama vēl viena ievainojamība.

Turklāt, ir vairākas google ziņas, kas saistītas ar drošību kas parādījās nesen:

  1. Pārskats par izmantošanu ar 0. dienas ievainojamību Project Zero komanda identificēja pagājušajā gadā. Rakstā sniegta statistika, ka 25% ievainojamību Pētītie 0 dienu ekspluatācijas gadījumi bija tieši saistīti ar iepriekš publiski atklātām un fiksētām ievainojamībām, tas ir, 0 dienu ekspluatācijas autori nepietiekami pilnīgas vai sliktas kvalitātes novēršanas dēļ atrada jaunu uzbrukuma vektoru (piemēram, neaizsargāti programmu izstrādātāji, kurus viņi bieži novērš tikai īpašs gadījums vai vienkārši izliekas par problēmu, nenokļūstot līdz problēmas pamatam).
    Šīs nulles dienas ievainojamības, iespējams, varēja novērst, veicot turpmāku ievainojamību izmeklēšanu un novēršanu.
  2. Pārskats par maksām, ko Google maksā pētniekiem drošība, lai identificētu ievainojamības. Kopumā 6.7. gadā tika samaksāti prēmijas 2020 miljonu ASV dolāru apmērā, kas ir par 280,000 2019 USD vairāk nekā 2018. gadā un gandrīz divkāršoja 662. gadu. Kopumā tika izmaksātas 132.000 balvas. Lielākā balva bija $ XNUMX XNUMX.
  3. 1,74 miljoni ASV dolāru tika iztērēti maksājumiem, kas saistīti ar Android platformas drošību, 2,1 miljons ASV dolāru - Chrome, 270 tūkstoši ASV dolāru - Google Play un 400 tūkstoši ASV dolāru pētniecības dotācijām.
  4. Tika ieviesta sistēma “Zināt, novērst, labot” pārvaldīt ievainojamības labojumu metadatus, uzraudzīt labojumus, sūtīt paziņojumus par jaunām ievainojamībām, uzturēt datu bāzi ar informāciju par ievainojamībām, izsekot ievainojamības atkarībām un analizēt ievainojamības izpausmes risku, izmantojot atkarības.

Kā instalēt vai atjaunināt jauno Google Chrome versiju?

Pirmais, kas jādara, ir pārbaudiet, vai atjauninājums jau ir pieejams, par to jums jādodas uz vietni chrome: // settings / help un jūs redzēsiet paziņojumu, ka ir atjauninājums.

Ja tas tā nav, jums ir jāaizver pārlūkprogramma, un viņiem ir jālejupielādē pakotne no oficiālās Google Chrome lapas, tāpēc viņiem jādodas uz uz šo saiti, lai iegūtu paketi.

Vai no termināla ar:

[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]

Pakotnes lejupielāde ir pabeigta viņi var veikt tiešu instalēšanu ar vēlamo pakotņu pārvaldnieku, vai no termināla viņi to var izdarīt, ierakstot šādu komandu:

[sourcecode text = "bash"] sudo dpkg -i google-chrome-stabil_current_amd64.deb [/ sourcecode]

Un, ja jums ir problēmas ar atkarībām, varat tās atrisināt, ierakstot šādu komandu:

[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]

Sistēmu gadījumā, kurās tiek atbalstītas tādas RPM paketes kā CentOS, RHEL, Fedora, openSUSE un atvasinājumi, jums jālejupielādē pakete rpm, ko var iegūt no šīs saites. 

Gatavs lejupielādei viņiem jāinstalē pakotne ar vēlamo pakotņu pārvaldnieku vai no termināla viņi to var izdarīt ar šādu komandu:

[sourcecode text = "bash"] sudo rpm -i google-chrome-stabil_current_x86_64.rpm [/ sourcecode]

Arch Linux un no tā atvasinātu sistēmu, piemēram, Manjaro, Antergos un citu, gadījumā mēs varam instalēt lietojumprogrammu no AUR krātuvēm.

Viņiem vienkārši ir jāievada šāda komanda terminālā:

[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   bez nosaukuma teica
    dara 3 gadi

    Tā kā tas vienkārši ir slēgts avots, tas jau pats par sevi ir nedrošs, nav vērts tērēt laiku, izmantojot šādu programmatūru, jo ir bezmaksas alternatīvas.

    Atbildēt uz nonamed