Dalawang araw pagkatapos ng paglabas ng isang fixer na bersyon ng Chrome kasama ang pagtanggal ng kritikal na kahinaan, Inihayag ng Google ang paglabas ng isa pang pag-update para sa Chrome 88.0.4324.150, kung saan Inaayos ang kahinaan CVE-2021-21148 na ginamit ng mga hacker sa pagsasamantala (0-araw).
Ang mga detalye ay hindi pa nagsiwalat, ang kahinaan ay nalalaman lamang na sanhi ng isang stack overflow sa V8 JavaScript engine.
Tungkol sa kahinaan na naayos sa Chrome
Ang ilang mga analista ispekula na ang kahinaan ay ginamit sa isang pagsamantalahan na ginamit sa pag-atake ng ZINC ng huling bahagi ng Enero laban sa mga mananaliksik sa seguridad (noong nakaraang taon ang isang kathang-isip na mananaliksik ay na-promosyon sa Twitter at iba't ibang mga social network, na una na nakakuha ng positibong reputasyon sa pamamagitan ng pag-post ng mga pagsusuri at artikulo sa mga bagong kahinaan, ngunit sa pamamagitan ng pag-post ng isa pang artikulo, ginamit ko ang isang pagsasamantala sa isang araw na 0 kahinaan na nagtatapon ng code sa system kapag ang isang link ay na-click sa Chrome para sa Windows).
Ang problema ay itinalaga ng mataas ngunit hindi kritikal na antas ng peligroSa madaling salita, ipinahiwatig na ang kahinaan ay hindi pinapayagan na lampasan ang lahat ng mga antas ng proteksyon ng browser at hindi sapat upang maisagawa ang code sa system sa labas ng kapaligiran ng sandbox.
Ang kahinaan sa mismong Chrome ay hindi pinapayagan ang pag-bypass sa kapaligiran ng sandbox, at para sa isang buong pag-atake na kinakailangan ng isa pang kahinaan sa operating system.
Bukod dito, maraming mga post sa google na may kaugnayan sa seguridad na lumitaw kamakailan:
- Isang ulat tungkol sa mga pagsasamantala na may kahinaan sa araw na 0 kinilala ng koponan ng Project Zero noong nakaraang taon. Nagbibigay ang artikulo ng mga istatistika na 25% ng mga kahinaan Ang 0-araw na pagsasamantala na pinag-aralan ay direktang nauugnay sa dating isiniwalat at naayos na mga kahinaan, samakatuwid, ang 0-araw na pagsasamantala ng mga may-akda ay nakakita ng isang bagong vector ng pag-atake dahil sa isang hindi sapat na kumpleto o hindi mahusay na kalidad na pag-aayos (halimbawa, mga mahina sa program developer na madalas nilang ayusin lamang isang espesyal na kaso o nagpapanggap lamang na isang pag-aayos nang hindi nakuha ang ugat ng problema).
Ang mga zero-day na kahinaan na maaaring potensyal na mapigilan sa karagdagang pagsisiyasat at pag-aayos ng mga kahinaan. - Mag-ulat sa mga bayarin na binabayaran ng Google sa mga mananaliksik seguridad upang makilala ang mga kahinaan. Isang kabuuang $ 6.7 milyon na mga premium ang nabayaran noong 2020, na kung saan ay $ 280,000 higit pa kaysa sa 2019 at halos doble kaysa sa 2018. Isang kabuuan ng 662 na premyo ang nabayaran. Ang pinakamalaking premyo ay $ 132.000.
- $ 1,74 milyon ang ginugol sa mga pagbabayad na nauugnay sa seguridad ng platform ng Android, $ 2,1 milyon - Chrome, $ 270 libo - Google Play at $ 400 para sa mga gawad sa pananaliksik.
- Ang balangkas na 'Alamin, Pigilan, Pag-ayos' ay ipinakilala upang mapamahalaan ang metadata ng mga pag-aayos ng kahinaan, subaybayan ang mga pag-aayos, magpadala ng mga abiso tungkol sa mga bagong kahinaan, panatilihin ang isang database na may impormasyon sa mga kahinaan, subaybayan ang mga kahinaan sa mga dependency, at pag-aralan ang panganib ng pagpapakita ng kahinaan sa pamamagitan ng mga dependency.
Paano mag-install o mag-update sa bagong bersyon ng Google Chrome?
Ang unang dapat gawin ay suriin kung magagamit na ang pag-update, para rito kailangan mong pumunta sa chrome: // setting / help at makikita mo ang abiso na mayroong isang pag-update.
Kung hindi ito ang kadahilanan, dapat mong isara ang iyong browser at dapat nilang i-download ang package mula sa opisyal na pahina ng Google Chrome, kaya dapat silang pumunta sa sa sumusunod na link upang makuha ang package.
O mula sa terminal na may:
[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]
Tapos na ang pag-download ng package maaari nilang gawin ang direktang pag-install sa kanilang ginustong package manager, o mula sa terminal magagawa nila ito sa pamamagitan ng pagta-type ng sumusunod na utos:
[sourcecode text = "bash"] sudo dpkg -i google-chrome-stable_current_amd64.deb [/ sourcecode]
At kung sakaling mayroon kang mga problema sa mga dependency, maaari mong malutas ang mga ito sa pamamagitan ng pag-type ng sumusunod na utos:
[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]
Sa kaso ng mga system na may suporta para sa mga RPM package tulad ng CentOS, RHEL, Fedora, openSUSE at mga derivatives, dapat mong i-download ang rpm package, na maaaring makuha mula sa sumusunod na link.
Tapos na ang pag-download dapat nilang mai-install ang package sa kanilang ginustong manager ng package o mula sa terminal magagawa nila ito sa sumusunod na utos:
[sourcecode text = "bash"] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]
Sa kaso ng Arch Linux at mga system na nagmula rito, tulad ng Manjaro, Antergos at iba pa, maaari naming mai-install ang application mula sa mga AUR repository.
Kailangan lang nilang i-type ang sumusunod na utos sa terminal:
[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]
Dahil sa simpleng katotohanan ng pagiging sarado na mapagkukunan ay naka-insecure na sa sarili, hindi nagkakahalaga ng pag-aaksaya ng oras gamit ang naturang software dahil may mga libreng kahalili.