สองวันหลังจากการเปิดตัว Chrome เวอร์ชัน Fixer พร้อมกับการกำจัดช่องโหว่ที่สำคัญGoogle ประกาศเปิดตัวการอัปเดตอื่น สำหรับ Chrome 88.0.4324.150 ซึ่ง แก้ไขช่องโหว่ CVE-2021-21148 ที่แฮกเกอร์ใช้ในการหาประโยชน์ (0 วัน)
ยังไม่มีการเปิดเผยรายละเอียดช่องโหว่นี้เป็นที่ทราบกันดีว่าเกิดจากสแตกล้นในเอ็นจิ้น V8 JavaScript เท่านั้น
เกี่ยวกับช่องโหว่ที่แก้ไขใน Chrome
นักวิเคราะห์บางคน คาดเดาว่าช่องโหว่ถูกใช้ในการโจมตีที่ใช้ในการโจมตี ZINC ของปลายเดือนมกราคมกับนักวิจัยด้านความปลอดภัย (ปีที่แล้วนักวิจัยปลอมได้รับการเลื่อนตำแหน่งบน Twitter และเครือข่ายโซเชียลต่างๆโดยเริ่มได้รับชื่อเสียงในเชิงบวกจากการโพสต์บทวิจารณ์และบทความเกี่ยวกับช่องโหว่ใหม่ ๆ แต่ด้วยการโพสต์บทความอื่นฉันใช้ช่องโหว่ที่มีช่องโหว่วัน 0 ที่พ่นรหัสเข้าสู่ระบบเมื่อมีการคลิกลิงก์ใน Chrome สำหรับ Windows)
ปัญหานี้ได้รับการกำหนดระดับอันตรายที่สูง แต่ไม่ถึงขั้นวิกฤตกล่าวอีกนัยหนึ่งระบุว่าช่องโหว่ไม่อนุญาตให้ข้ามการป้องกันเบราว์เซอร์ทุกระดับและไม่เพียงพอที่จะรันโค้ดบนระบบนอกสภาพแวดล้อมแซนด์บ็อกซ์
ช่องโหว่ใน Chrome เองไม่อนุญาตให้ข้ามสภาพแวดล้อมแซนด์บ็อกซ์และสำหรับการโจมตีเต็มรูปแบบจำเป็นต้องมีช่องโหว่อื่นในระบบปฏิบัติการ
นอกจากนี้ มีโพสต์ของ Google มากมายที่เกี่ยวข้องกับความปลอดภัย ที่เพิ่งปรากฏ:
- รายงานเกี่ยวกับช่องโหว่ที่มีช่องโหว่วันที่ 0 ระบุโดยทีม Project Zero เมื่อปีที่แล้ว บทความนี้ให้สถิติว่า 25% ของช่องโหว่ การหาประโยชน์ 0 วันที่ศึกษาเกี่ยวข้องโดยตรงกับช่องโหว่ที่เปิดเผยต่อสาธารณะและแก้ไขก่อนหน้านี้นั่นคือผู้เขียนช่องโหว่ 0 วันพบเวกเตอร์การโจมตีใหม่เนื่องจากการแก้ไขไม่สมบูรณ์หรือมีคุณภาพต่ำ (ตัวอย่างเช่นนักพัฒนาโปรแกรมที่มีช่องโหว่ที่พวกเขามักแก้ไขเพียง กรณีพิเศษหรือเพียงแค่แสร้งทำเป็นแก้ไขโดยไม่ทราบถึงต้นตอของปัญหา)
ช่องโหว่ของ Zero-day เหล่านี้อาจถูกป้องกันได้ด้วยการตรวจสอบและแก้ไขช่องโหว่เพิ่มเติม - รายงานเกี่ยวกับค่าธรรมเนียมที่ Google จ่ายให้กับนักวิจัย เพื่อระบุช่องโหว่ มีการจ่ายเบี้ยประกันภัยรวม 6.7 ล้านดอลลาร์ในปี 2020 ซึ่งมากกว่าปี 280,000 ถึง 2019 ดอลลาร์และเกือบสองเท่าของปี 2018 มีการจ่ายรางวัลทั้งหมด 662 รางวัล รางวัลใหญ่ที่สุดคือ 132.000 ดอลลาร์
- ใช้จ่ายไป 1,74 ล้านดอลลาร์สำหรับการชำระเงินที่เกี่ยวข้องกับความปลอดภัยของแพลตฟอร์ม Android, 2,1 ล้านดอลลาร์ - Chrome, 270 ดอลลาร์ - Google Play และ 400 ดอลลาร์สำหรับทุนวิจัย
- มีการนำกรอบ "รู้ป้องกันซ่อม" มาใช้ เพื่อจัดการเมตาดาต้าแก้ไขช่องโหว่ตรวจสอบการแก้ไขส่งการแจ้งเตือนเกี่ยวกับช่องโหว่ใหม่ดูแลฐานข้อมูลที่มีข้อมูลเกี่ยวกับช่องโหว่ติดตามช่องโหว่เพื่อการอ้างอิงและวิเคราะห์ความเสี่ยงของการแสดงช่องโหว่ผ่านการอ้างอิง
จะติดตั้งหรืออัปเดต Google Chrome เวอร์ชันใหม่ได้อย่างไร
สิ่งแรกที่ต้องทำคือ ตรวจสอบว่ามีการอัปเดตหรือไม่, สำหรับมัน คุณต้องไปที่ chrome: // settings / help และคุณจะเห็นการแจ้งเตือนว่ามีการอัปเดต
หากไม่เป็นเช่นนั้นคุณต้องปิดเบราว์เซอร์ของคุณและพวกเขาจะต้องดาวน์โหลดแพ็คเกจจากหน้า Google Chrome อย่างเป็นทางการดังนั้นจึงต้องไป ไปที่ลิงค์ต่อไปนี้เพื่อรับแพ็คเกจ
หรือจากเครื่องปลายทางด้วย:
[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]
ดาวน์โหลดแพ็คเกจเสร็จสิ้น พวกเขาสามารถทำการติดตั้งโดยตรงด้วยตัวจัดการแพ็คเกจที่ต้องการ หรือจากเทอร์มินัลก็ทำได้โดยพิมพ์คำสั่งต่อไปนี้:
[sourcecode text = "bash"] sudo dpkg -i google-chrome-stable_current_amd64.deb [/ sourcecode]
และในกรณีที่คุณมีปัญหาเกี่ยวกับการอ้างอิงคุณสามารถแก้ไขได้โดยพิมพ์คำสั่งต่อไปนี้:
[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]
ในกรณีของระบบที่รองรับแพ็กเกจ RPM เช่น CentOS, RHEL, Fedora, openSUSE และอนุพันธ์คุณต้องดาวน์โหลดแพ็คเกจ rpm ซึ่งสามารถหาได้จากลิงค์ต่อไปนี้
ดาวน์โหลดเสร็จแล้ว พวกเขาต้องติดตั้งแพ็กเกจด้วยตัวจัดการแพ็กเกจที่ต้องการ หรือจากเทอร์มินัลก็สามารถทำได้ด้วยคำสั่งต่อไปนี้:
[sourcecode text = "bash"] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]
ในกรณีของ Arch Linux และระบบที่ได้รับจากมันเช่น Manjaro, Antergos และอื่น ๆ เราสามารถติดตั้งแอปพลิเคชันจากที่เก็บ AUR
เพียงแค่พิมพ์คำสั่งต่อไปนี้ในเทอร์มินัล:
[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]
โดยข้อเท็จจริงง่ายๆของการเป็นแหล่งปิดนั้นไม่ปลอดภัยในตัวเองอยู่แล้วจึงไม่คุ้มที่จะเสียเวลาไปกับการใช้ซอฟต์แวร์ดังกล่าวเนื่องจากมีทางเลือกฟรี