Chrome 88.0.4324.150 menyelesaikan kerentanan sifar hari

Darkcrizt

Minit 4

Dua hari selepas pembebasan Chrome versi pembetulan dengan penghapusan kerentanan kritikal, Google mengumumkan pelepasan kemas kini yang lain untuk Chrome 88.0.4324.150, yang memperbaiki kerentanan CVE-2021-21148 yang sudah digunakan oleh penggodam dalam eksploitasi (0 hari).

Perinciannya belum terungkap, kerentanan itu hanya diketahui disebabkan oleh tumpukan tumpahan pada mesin JavaScript V8.

Mengenai kerentanan yang diperbaiki di Chrome

Sebilangan penganalisis berspekulasi bahawa kerentanan digunakan dalam eksploitasi yang digunakan dalam serangan ZINC akhir Januari terhadap penyelidik keselamatan (tahun lalu seorang penyelidik rekaan dipromosikan di Twitter dan pelbagai rangkaian sosial, pada mulanya memperoleh reputasi positif melalui catatan ulasan dan artikel mengenai kelemahan baru, tetapi dengan menyiarkan artikel lain, saya menggunakan eksploitasi dengan kerentanan 0 hari yang melemparkan kod ke dalam sistem apabila pautan diklik di Chrome untuk Windows).

Masalahnya diberikan tahap bahaya yang tinggi tetapi tidak kritikalDengan kata lain, ini menunjukkan bahawa kerentanan tidak memungkinkan untuk melewati semua tahap perlindungan penyemak imbas dan tidak mencukupi untuk menjalankan kod pada sistem di luar lingkungan kotak pasir.

Kerentanan dalam Chrome itu sendiri tidak memungkinkan untuk melewati persekitaran kotak pasir, dan untuk serangan penuh, kerentanan lain diperlukan dalam sistem operasi.

Selain itu, terdapat beberapa catatan google yang berkaitan dengan keselamatan yang muncul baru-baru ini:

  1. Laporan mengenai eksploitasi dengan kelemahan 0 hari dikenal pasti oleh pasukan Project Zero tahun lalu. Artikel tersebut memberikan statistik bahawa 25% kelemahan hari 0 yang dikaji berkaitan secara langsung dengan kerentanan yang sebelumnya didedahkan dan diperbaiki secara terbuka, iaitu, pengarang eksploitasi hari 0 menemui vektor serangan baru kerana pembaikan yang tidak lengkap atau berkualiti rendah (misalnya, pembangun program yang rentan yang sering mereka perbaiki hanya kes atau hanya berpura-pura menjadi penyelesaian tanpa sampai ke akar masalahnya).
    Kerentanan sifar-hari ini berpotensi dicegah dengan penyiasatan lebih lanjut dan pemulihan kelemahan tersebut.
  2. Laporkan mengenai bayaran yang dibayar oleh Google kepada penyelidik keselamatan untuk mengenal pasti kelemahan. Sebanyak $ 6.7 juta premium dibayar pada tahun 2020, iaitu $ 280,000 lebih banyak daripada pada tahun 2019 dan hampir dua kali ganda jumlahnya pada tahun 2018. Sebanyak 662 hadiah telah dibayar. Hadiah terbesar ialah $ 132.000.
  3. $ 1,74 juta dibelanjakan untuk pembayaran yang berkaitan dengan keselamatan platform Android, $ 2,1 juta - Chrome, $ 270 ribu - Google Play, dan $ 400 ribu untuk geran penyelidikan.
  4. Rangka kerja 'Know, Prevent, Repair' diperkenalkan untuk menguruskan metadata mengenai pemulihan kerentanan, memantau perbaikan, mengirim pemberitahuan tentang kerentanan baru, menjaga pangkalan data dengan maklumat mengenai kerentanan, melacak kerentanan ke dependensi, dan menganalisis risiko manifestasi kerentanan melalui dependensi.

Bagaimana cara memasang atau mengemas kini Google Chrome versi baru?

Perkara pertama yang perlu dilakukan ialah periksa sama ada kemas kini sudah tersedia, untuk ia anda mesti pergi ke chrome: // setting / help dan anda akan melihat pemberitahuan bahawa terdapat kemas kini.

Sekiranya ini tidak berlaku, anda mesti menutup penyemak imbas anda dan mereka mesti memuat turun pakej dari halaman rasmi Google Chrome, jadi mereka mesti pergi ke pautan berikut untuk mendapatkan pakej.

Atau dari terminal dengan:

[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sumber kod]

Selesai memuat turun pakej mereka boleh melakukan pemasangan langsung dengan pengurus pakej pilihan mereka, atau dari terminal mereka boleh melakukannya dengan menaip arahan berikut:

[teks kod sumber = "bash"] sudo dpkg -i google-chrome-stable_current_amd64.deb [/ kod sumber]

Sekiranya anda mempunyai masalah dengan pergantungan, anda boleh menyelesaikannya dengan menaip arahan berikut:

[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]

Sekiranya sistem dengan sokongan untuk pakej RPM seperti CentOS, RHEL, Fedora, openSUSE dan derivatif, anda mesti memuat turun pakej rpm, yang boleh didapati dari pautan berikut. 

Selesai memuat turun mereka mesti memasang pakej dengan pengurus pakej pilihan mereka atau dari terminal mereka boleh melakukannya dengan arahan berikut:

[sourcecode text = "bash"] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]

Dalam kes Arch Linux dan sistem yang berasal daripadanya, seperti Manjaro, Antergos dan lain-lain, kita dapat memasang aplikasi dari repositori AUR.

Mereka hanya perlu mengetik perintah berikut di terminal:

[teks kod sumber = "bash"] yay -S google-chrome [/ kod sumber]

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   tanpa nama kata
    membuat 3 tahun

    Dengan fakta mudah sebagai sumber tertutup, ia sudah tidak selamat, tidak ada salahnya membuang masa menggunakan perisian tersebut kerana ada alternatif percuma.

    Balas kepada bukan nama