Chrome 88.0.4324.150 rozwiązuje lukę zero-day

Dwa dni po wydaniu naprawiającej wersji Chrome z usunięciem krytycznej luki, Google ogłosił wydanie kolejnej aktualizacji dla Chrome 88.0.4324.150, który naprawia lukę CVE-2021-21148 już wykorzystywaną przez hakerów w exploitach (0 dni).

Szczegóły nie zostały jeszcze ujawnione, wiadomo, że luka jest spowodowana jedynie przepełnieniem stosu w silniku JavaScript V8.

O luce naprawionej w Chrome

Niektórzy analitycy spekulują, że luka została wykorzystana w exploicie wykorzystanym w ataku ZINC pod koniec stycznia przeciwko badaczom bezpieczeństwa (w zeszłym roku fikcyjny badacz był promowany na Twitterze i różnych sieciach społecznościowych, początkowo zyskując pozytywną reputację poprzez publikowanie recenzji i artykułów na temat nowych luk w zabezpieczeniach, ale zamieszczając kolejny artykuł, wykorzystałem exploita z luką dnia 0 który wrzuca kod do systemu po kliknięciu linku w przeglądarce Chrome na Windows).

Problemowi przypisano wysoki, ale nie krytyczny poziom zagrożeniaInnymi słowy, wskazuje się, że luka nie pozwala na ominięcie wszystkich poziomów ochrony przeglądarki i nie wystarcza do wykonania kodu w systemie poza środowiskiem piaskownicy.

Luka w samym Chrome nie pozwala na ominięcie środowiska piaskownicy, a do pełnego ataku wymagana jest kolejna luka w systemie operacyjnym.

Ponadto, istnieje kilka postów google związanych z bezpieczeństwem które pojawiły się niedawno:

  1. Raport dotyczący exploitów z lukami dnia 0 zidentyfikowany przez zespół Project Zero w zeszłym roku. Artykuł podaje statystyki, że 25% luk w zabezpieczeniach Badane dni 0 były bezpośrednio powiązane z wcześniej publicznie ujawnionymi i naprawionymi podatnościami, to znaczy autorzy exploitów z dnia 0 znaleźli nowy wektor ataku z powodu niewystarczająco kompletnej lub złej jakości poprawki (na przykład podatni twórcy programów często naprawiają tylko specjalny przypadku lub po prostu udawać, że jest to poprawka bez dotarcia do źródła problemu).
    Tym lukom typu zero-day można było potencjalnie zapobiec poprzez dalsze badanie i naprawę luk w zabezpieczeniach.
  2. Raport o opłatach, jakie Google płaci badaczom bezpieczeństwo w celu identyfikacji podatności. W 6.7 r. Wypłacono łącznie 2020 mln USD składek, czyli o 280,000 2019 USD więcej niż w 2018 r. I prawie dwukrotnie więcej niż w 662 r. W sumie wypłacono 132.000 nagrody. Największa nagroda wyniosła XNUMX XNUMX USD.
  3. 1,74 mln dol. Wydano na płatności związane z bezpieczeństwem platformy Android, 2,1 mln dol. - Chrome, 270 tys. Dol. - Google Play i 400 tys. Dol. Na granty badawcze.
  4. Wprowadzono strukturę „Poznaj, Zapobiegaj, Napraw” zarządzanie metadanymi dotyczącymi usuwania luk w zabezpieczeniach, monitorowanie poprawek, wysyłanie powiadomień o nowych lukach, utrzymywanie bazy danych z informacjami o lukach, śledzenie podatności na zależności i analizowanie ryzyka ujawnienia się podatności poprzez zależności.

Jak zainstalować lub zaktualizować do nowej wersji Google Chrome?

Pierwsza rzecz do zrobienia to sprawdź, czy aktualizacja jest już dostępna, dla tego musisz przejść do chrome: // settings / help a zobaczysz powiadomienie, że jest aktualizacja.

Jeśli tak nie jest, musisz zamknąć przeglądarkę i pobrać pakiet z oficjalnej strony Google Chrome, więc muszą przejść do poniższego linku, aby pobrać pakiet.

Lub z terminalu z:

[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]

Zakończono pobieranie pakietu mogą przeprowadzić bezpośrednią instalację za pomocą preferowanego menedżera pakietów, lub z terminala mogą to zrobić wpisując następującą komendę:

[sourcecode text = "bash"] sudo dpkg -i google-chrome-stable_current_amd64.deb [/ sourcecode]

A jeśli masz problemy z zależnościami, możesz je rozwiązać, wpisując następujące polecenie:

[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]

W przypadku systemów obsługujących pakiety RPM takie jak CentOS, RHEL, Fedora, openSUSE i pochodne należy pobrać pakiet rpm, które można uzyskać pod następującym linkiem. 

Zakończono pobieranie muszą zainstalować pakiet za pomocą preferowanego menedżera pakietów lub z terminala mogą to zrobić za pomocą następującego polecenia:

[tekst kodu źródłowego = "bash"] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]

W przypadku Arch Linux i systemów z niego pochodnych, takich jak Manjaro, Antergos i innych możemy zainstalować aplikację z repozytoriów AUR.

Wystarczy wpisać w terminalu następującą komendę:

[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]

Komentarz, zostaw swój

Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   bez nazwy powiedział

    Ze względu na prosty fakt bycia zamkniętym źródłem jest już samo w sobie niebezpieczne, nie warto tracić czasu na korzystanie z takiego oprogramowania, ponieważ istnieją bezpłatne alternatywy.