Chrome 88.0.4324.150 được sửa lỗ hổng zero day

Darkcrizt

4 phút

Hai ngày sau khi phát hành phiên bản sửa lỗi của Chrome với việc loại bỏ lỗ hổng nghiêm trọng, Google đã thông báo về việc phát hành một bản cập nhật khác dành cho Chrome 88.0.4324.150, sửa lỗ hổng CVE-2021-21148 đã được tin tặc sử dụng trong các vụ khai thác (0 ngày).

Thông tin chi tiết vẫn chưa được tiết lộ, lỗ hổng chỉ được biết là do tràn ngăn xếp trong công cụ JavaScript V8.

Giới thiệu về lỗ hổng được khắc phục trong Chrome

Một số nhà phân tích suy đoán rằng lỗ hổng đã được sử dụng trong một khai thác được sử dụng trong cuộc tấn công ZINC cuối tháng 0 chống lại các nhà nghiên cứu bảo mật (năm ngoái, một nhà nghiên cứu hư cấu đã được quảng bá trên Twitter và các mạng xã hội khác nhau, ban đầu đạt được danh tiếng tích cực thông qua việc đăng các bài đánh giá và bài báo về các lỗ hổng mới, nhưng bằng cách đăng một bài báo khác, tôi đã sử dụng phương pháp khai thác lỗ hổng ngày XNUMX sẽ ném mã vào hệ thống khi một liên kết được nhấp vào trong Chrome dành cho Windows).

Vấn đề được chỉ định mức độ nguy hiểm cao nhưng không nghiêm trọng, nghĩa là, nó chỉ ra rằng lỗ hổng không cho phép vượt qua tất cả các cấp độ bảo vệ của trình duyệt và không đủ để thực thi mã trên hệ thống bên ngoài môi trường hộp cát.

Bản thân lỗ hổng trong Chrome không cho phép bỏ qua môi trường hộp cát và để tấn công toàn diện, cần có một lỗ hổng khác trong hệ điều hành.

Bên cạnh đó, có một số bài đăng trên google liên quan đến bảo mật đã xuất hiện gần đây:

  1. Một báo cáo về việc khai thác với lỗ hổng bảo mật ngày 0 được xác định bởi nhóm Project Zero vào năm ngoái. Bài báo cung cấp số liệu thống kê rằng 25% lỗ hổng ngày 0 được nghiên cứu có liên quan trực tiếp đến các lỗ hổng đã được tiết lộ công khai và đã sửa trước đó, nghĩa là, các tác giả của các lần khai thác ngày 0 đã tìm thấy một vectơ tấn công mới do bản sửa lỗi không đầy đủ hoặc chất lượng kém (ví dụ: nhà phát triển các chương trình dễ bị tấn công mà họ thường chỉ sửa một trường hợp đặc biệt hoặc chỉ giả vờ là một sửa chữa mà không đi đến gốc rễ của vấn đề).
    Các lỗ hổng zero-day này có khả năng đã được ngăn chặn bằng cách điều tra thêm và khắc phục các lỗ hổng.
  2. Báo cáo về khoản phí mà Google trả cho các nhà nghiên cứu bảo mật để xác định các lỗ hổng. Tổng cộng 6.7 triệu đô la phí bảo hiểm đã được trả vào năm 2020, cao hơn 280,000 đô la so với năm 2019 và gần gấp đôi so với năm 2018. Tổng cộng 662 giải thưởng đã được trả. Giải thưởng lớn nhất là $ 132.000.
  3. 1,74 triệu USD đã được chi cho các khoản thanh toán liên quan đến bảo mật của nền tảng Android, 2,1 triệu USD - Chrome, 270 nghìn USD - Google Play và 400 nghìn USD cho tài trợ nghiên cứu.
  4. Khung "Biết, Ngăn ngừa, Sửa chữa" được giới thiệu để quản lý siêu dữ liệu về khắc phục lỗ hổng, giám sát các bản sửa lỗi, gửi thông báo về các lỗ hổng mới, duy trì cơ sở dữ liệu với thông tin về lỗ hổng, theo dõi lỗ hổng cho các phần phụ thuộc và phân tích nguy cơ biểu hiện lỗ hổng thông qua các phần phụ thuộc.

Làm cách nào để cài đặt hoặc cập nhật lên phiên bản mới của Google Chrome?

Điều đầu tiên cần làm là kiểm tra xem bản cập nhật đã có sẵn chưa, cho nó bạn phải truy cập chrome: // settings / help và thông báo rằng có một bản cập nhật sẽ xuất hiện.

Nếu không đúng như vậy, bạn phải đóng trình duyệt của mình và họ phải tải xuống gói từ trang Google Chrome chính thức, vì vậy họ phải truy cập vào liên kết sau để lấy gói.

Hoặc từ thiết bị đầu cuối với:

[sourcecode text = "bash"] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]

Đã tải xong gói họ có thể thực hiện cài đặt trực tiếp với trình quản lý gói ưa thích của họ, hoặc từ thiết bị đầu cuối, họ có thể thực hiện bằng cách gõ lệnh sau:

[sourcecode text = "bash"] sudo dpkg -i google-chrome-stable_current_amd64.deb [/ sourcecode]

Và trong trường hợp gặp sự cố với các phần phụ thuộc, bạn có thể giải quyết bằng cách gõ lệnh sau:

[sourcecode text = "bash"] sudo apt install -f [/ sourcecode]

Trong trường hợp hệ thống có hỗ trợ các gói RPM như CentOS, RHEL, Fedora, openSUSE và các dẫn xuất, bạn phải tải xuống gói rpm, mà có thể lấy từ liên kết sau. 

Đã tải xong họ phải cài đặt gói với trình quản lý gói ưa thích của họ hoặc từ thiết bị đầu cuối họ có thể thực hiện bằng lệnh sau:

[sourcecode text = "bash"] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/ sourcecode]

Trong trường hợp của Arch Linux và các hệ thống có nguồn gốc từ nó, chẳng hạn như Manjaro, Antergos và những hệ thống khác, chúng tôi có thể cài đặt ứng dụng từ kho AUR.

Họ chỉ cần gõ lệnh sau vào terminal:

[sourcecode text = "bash"] yay -S google-chrome [/ sourcecode]

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   vô danh dijo
    trước 3 năm

    Bởi thực tế đơn giản là mã nguồn đóng, bản thân nó đã không an toàn, không đáng để lãng phí thời gian sử dụng phần mềm như vậy vì có những lựa chọn thay thế miễn phí.

    Trả lời không tên