Chrome 88.0.4324.150 resolve uma vulnerabilidade de dia zero

Darkcrizt

1 Comentário

Dois dias após o lançamento de uma versão de correção do Chrome com a remoção da vulnerabilidade crítica, O Google anunciou o lançamento de outra atualização para o Chrome 88.0.4324.150, que corrige a vulnerabilidade CVE-2021-21148 já usada por hackers em exploits (0 dia).

Detalhes ainda não foram revelados, a vulnerabilidade só é conhecida por ser causada por um estouro de pilha no mecanismo V8 JavaScript.

Sobre a vulnerabilidade corrigida no Chrome

Alguns analistas especular que a vulnerabilidade foi usada em um exploit usado no ataque ZINC do final de janeiro contra pesquisadores de segurança (no ano passado, um pesquisador fictício foi promovido no Twitter e em várias redes sociais, inicialmente ganhando uma reputação positiva por meio da postagem de avaliações e artigos sobre novas vulnerabilidades, mas ao postar outro artigo, usei um exploit com vulnerabilidade de dia 0 que lança código no sistema quando um link é clicado no Chrome para Windows).

O problema é atribuído a um nível de risco alto, mas não críticoEm outras palavras, é indicado que a vulnerabilidade não permite contornar todos os níveis de proteção do navegador e não é suficiente para executar o código no sistema fora do ambiente sandbox.

A vulnerabilidade no próprio Chrome não permite contornar o ambiente sandbox e, para um ataque completo, outra vulnerabilidade é necessária no sistema operacional.

Além disso, existem vários posts no google relacionados à segurança que apareceram recentemente:

  1. Um relatório sobre exploits com vulnerabilidades no dia 0 identificados pela equipe do Project Zero no ano passado. O artigo fornece estatísticas que 25% das vulnerabilidades o dia 0 estudado estava diretamente relacionado a vulnerabilidades previamente divulgadas publicamente e corrigidas, ou seja, os autores das explorações do dia 0 encontraram um novo vetor de ataque devido a uma correção insuficientemente completa ou de baixa qualidade (por exemplo, desenvolvedores de programas vulneráveis, muitas vezes corrigem apenas um caso ou apenas fingir ser uma solução, sem chegar à raiz do problema).
    Essas vulnerabilidades de dia zero poderiam ter sido evitadas com mais investigação e remediação das vulnerabilidades.
  2. Relatório sobre as taxas que o Google paga aos pesquisadores para identificar vulnerabilidades. Um total de $ 6.7 milhões em prêmios foram pagos em 2020, o que é $ 280,000 a mais do que em 2019 e quase o dobro de 2018. Um total de 662 prêmios foram pagos. O maior prêmio foi de $ 132.000.
  3. $ 1,74 milhões foram gastos em pagamentos relacionados à segurança da plataforma Android, $ 2,1 milhões - Chrome, $ 270 mil - Google Play e $ 400 mil para bolsas de pesquisa.
  4. A estrutura "Conhecer, Prevenir, Reparar" foi introduzida para gerenciar metadados sobre a correção de vulnerabilidades, monitorar correções, enviar notificações sobre novas vulnerabilidades, manter um banco de dados com informações sobre vulnerabilidades, rastrear vulnerabilidades em dependências e analisar o risco de manifestação de vulnerabilidades por meio de dependências.

Como instalar ou atualizar para a nova versão do Google Chrome?

A primeira coisa a fazer é verifique se a atualização já está disponívelpara isso você precisa ir para chrome: // settings / help e você verá a notificação de que há uma atualização.

Se este não for o caso, você deve fechar seu navegador e eles devem baixar o pacote da página oficial do Google Chrome, então eles devem ir ao link a seguir para obter o pacote.

Ou do terminal com:

[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]

Concluído o download do pacote eles podem fazer a instalação direta com seu gerenciador de pacotes preferido, ou a partir do terminal, eles podem fazer isso digitando o seguinte comando:

[sourcecode text = "bash"] sudo dpkg -i google-chrome-stable_current_amd64.deb [/ sourcecode]

E caso você tenha problemas com as dependências, pode resolvê-los digitando o seguinte comando:

[sourcececode text = "bash"] sudo apt install -f [/ sourcecode]

No caso de sistemas com suporte para pacotes RPM como CentOS, RHEL, Fedora, openSUSE e derivados, você deve baixar o pacote rpm, que pode ser obtido no seguinte link. 

Feito o download eles devem instalar o pacote com seu gerenciador de pacotes preferido ou a partir do terminal, eles podem fazer isso com o seguinte comando:

[sourcecode text = "bash"] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]

No caso do Arch Linux e sistemas derivados dele, como Manjaro, Antergos e outros, podemos instalar o aplicativo a partir dos repositórios AUR.

Eles simplesmente precisam digitar o seguinte comando no terminal:

[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]

Um comentário deixe o seu

Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.

  1.   sem nome dito
    atrás Anos 3

    Pelo simples fato de ser de código fechado já é inseguro em si mesmo, não vale a pena perder tempo usando esse software, pois existem alternativas gratuitas.

    Responder a não nomeado