Chrome 88.0.4324.150 lost een zero day-kwetsbaarheid op

Darkcrizt

4 minuten

Twee dagen na de release van een fixerversie van Chrome met het verwijderen van de kritieke kwetsbaarheidKondigde Google de release aan van een nieuwe update voor Chrome 88.0.4324.150, welke lost kwetsbaarheid CVE-2021-21148 op die al door hackers wordt gebruikt bij exploits (0-dagen).

Details moeten nog worden onthuld, het is alleen bekend dat de kwetsbaarheid wordt veroorzaakt door een stack-overflow in de V8 JavaScript-engine.

Over de kwetsbaarheid die is opgelost in Chrome

Sommige analisten speculeren dat de kwetsbaarheid werd gebruikt in een exploit die werd gebruikt bij de ZINC-aanval eind januari tegen beveiligingsonderzoekers (vorig jaar werd een fictieve onderzoeker gepromoot op Twitter en verschillende sociale netwerken, die aanvankelijk een positieve reputatie kreeg door het plaatsen van recensies en artikelen over nieuwe kwetsbaarheden, maar door een ander artikel te plaatsen, gebruikte ik een exploit met een kwetsbaarheid van dag 0 die code in het systeem gooit wanneer op een link wordt geklikt in Chrome voor Windows).

Het probleem krijgt een hoog maar niet kritiek gevaarniveau toegewezenMet andere woorden, er wordt aangegeven dat de kwetsbaarheid het niet mogelijk maakt om alle niveaus van browserbescherming te omzeilen en niet voldoende is om code uit te voeren op het systeem buiten de sandbox-omgeving.

De kwetsbaarheid in Chrome zelf staat het omzeilen van de sandbox-omgeving niet toe, en voor een volledige aanval is een andere kwetsbaarheid vereist in het besturingssysteem.

Bovendien heeft er zijn verschillende Google-berichten met betrekking tot beveiliging die onlangs zijn verschenen:

  1. Een rapport over exploits met kwetsbaarheden op dag 0 geïdentificeerd door het Project Zero-team vorig jaar. Het artikel geeft statistieken dat 25% van de kwetsbaarheden dag 0 bestudeerd waren direct gerelateerd aan eerder openbaar gemaakte en gerepareerde kwetsbaarheden, dat wil zeggen dat de auteurs van dag 0-exploits een nieuwe aanvalsvector vonden vanwege een onvoldoende volledige of slechte kwaliteit fix (bijvoorbeeld, kwetsbare programmaontwikkelaars repareren ze vaak slechts een speciale case of doe alsof u een oplossing bent zonder de oorzaak van het probleem te achterhalen).
    Deze zero-day-kwetsbaarheden hadden mogelijk voorkomen kunnen worden door nader onderzoek en herstel van de kwetsbaarheden.
  2. Rapporteer over de vergoedingen die Google aan onderzoekers betaalt beveiliging om kwetsbaarheden te identificeren. In 6.7 werd in totaal $ 2020 miljoen aan premies betaald, dat is $ 280,000 meer dan in 2019 en bijna het dubbele van 2018. In totaal werden 662 prijzen uitbetaald. De grootste prijs was $ 132.000.
  3. $ 1,74 miljoen werd uitgegeven aan betalingen met betrekking tot Android-platformbeveiliging, $ 2,1 miljoen - Chrome, $ 270 duizend - Google Play en $ 400 duizend voor onderzoekssubsidies.
  4. Het framework 'Know, Prevent, Repair' werd geïntroduceerd om metadata over het herstel van kwetsbaarheden te beheren, fixes te monitoren, meldingen over nieuwe kwetsbaarheden te verzenden, een database met informatie over kwetsbaarheden te onderhouden, kwetsbaarheden naar afhankelijkheden op te sporen en het risico van uiting van kwetsbaarheden door afhankelijkheden te analyseren.

Hoe installeer ik of update ik naar de nieuwe versie van Google Chrome?

Het eerste dat u moet doen, is controleer of de update al beschikbaar is, ervoor je moet naar chrome: // settings / help gaan en je ziet de melding dat er een update is.

Als dit niet het geval is, moet u uw browser sluiten en ze moeten het pakket downloaden van de officiële Google Chrome-pagina, dus ze moeten gaan naar de volgende link om het pakket op te halen.

Of vanaf de terminal met:

[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]

De pakketdownload voltooid ze kunnen een directe installatie doen met hun favoriete pakketbeheerder, of vanaf de terminal kunnen ze het doen door de volgende opdracht te typen:

[sourcecode text = "bash"] sudo dpkg -i google-chrome-stable_current_amd64.deb [/ sourcecode]

En als u problemen heeft met de afhankelijkheden, kunt u deze oplossen door het volgende commando te typen:

[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]

In het geval van systemen met ondersteuning voor RPM-pakketten zoals CentOS, RHEL, Fedora, openSUSE en afgeleiden, moet je het rpm-pakket downloaden, die kan worden verkregen via de volgende link. 

Klaar met downloaden ze moeten het pakket installeren met de pakketbeheerder van hun voorkeur of vanaf de terminal kunnen ze het doen met het volgende commando:

[sourcecode text = "bash"] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]

In het geval van Arch Linux en daarvan afgeleide systemen, zoals Manjaro, Antergos en anderen, kunnen we de applicatie installeren vanuit de AUR-repositories.

Ze hoeven alleen maar de volgende opdracht in de terminal te typen:

[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   niet genoemd zei
    geleden Tot 3 jaar

    Door het simpele feit dat het een gesloten bron is, is het op zichzelf al onveilig, het is niet de moeite waard om tijd te verspillen met het gebruik van dergelijke software, want er zijn gratis alternatieven.

    Reageer op nonamed