Chrome修复程序版本发布两天后,该漏洞已消除,Google宣布发布另一个更新 对于Chrome 88.0.4324.150, 修复了黑客已在漏洞利用中使用的漏洞CVE-2021-21148 (0天)。
详细信息尚未透露,该漏洞仅是由V8 JavaScript引擎中的堆栈溢出引起的。
关于Chrome中修复的漏洞
一些分析师 推测此漏洞已在ZINC攻击中使用的漏洞利用中使用 0月下旬针对安全研究人员的攻击(去年在Twitter和各种社交网络上提拔了一个虚构的研究人员,最初通过发布有关新漏洞的评论和文章而获得了良好的声誉,但是通过发布另一篇文章,我使用了一个漏洞为XNUMX天的漏洞利用程序在Windows版Chrome浏览器中单击链接时,会将代码抛出到系统中)。
为问题分配了较高但不是严重的危害等级,即表明该漏洞不允许绕过浏览器的所有保护级别,并且不足以在沙盒环境之外的系统上执行代码。
Chrome本身的漏洞不允许绕过沙箱环境,并且对于全面的攻击,操作系统中还需要另一个漏洞。
另外, 有几条与安全相关的Google帖子 最近出现的:
- 第0天漏洞的利用报告 去年由零号项目小组确定。 该文章提供了25%的漏洞统计数据 研究的第0天与先前公开披露的固定漏洞直接相关,也就是说,第0天漏洞利用的作者由于未完全完成或质量较差的修复而发现了新的攻击媒介(例如,易受攻击的程序的开发人员通常仅修复特殊情况,或者只是假装是解决问题的根源而已)。
通过进一步调查和补救漏洞,可以潜在地避免这些零日漏洞。 - 报告Google向研究人员支付的费用 确定漏洞的安全性。 6.7年共支付了2020万美元的保费,比280,000年增加了2019美元,几乎是2018年的两倍。共支付了662个奖项。 最高奖金为132.000美元。
- 花费了1,74万美元用于与Android平台的安全性相关的付款,其中2,1万美元用于Chrome浏览器,270万美元用于Google Play,400万美元用于研究补助金。
- 引入了“了解,预防,修复”框架 管理有关漏洞修复的元数据,监视修补程序,发送有关新漏洞的通知,维护包含有关漏洞信息的数据库,将漏洞跟踪到依赖项以及通过依赖项分析漏洞表现的风险。
如何安装或更新到新版本的Google Chrome?
首先要做的是 检查更新是否已可用, 为了它 您必须转到chrome://设置/帮助 并出现有关更新的通知。
如果不是这种情况,则必须关闭浏览器,并且他们必须从官方的Google Chrome浏览器页面下载该程序包,因此必须转到 到以下链接以获取软件包。
或从终端上通过:
[源代码文本=“ bash”] wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]
完成包下载 他们可以使用其首选的软件包管理器直接进行安装, 或从终端上,他们可以通过键入以下命令来做到这一点:
[源代码文本=“ bash”] sudo dpkg -i google-chrome-stable_current_amd64.deb [/源代码]
并且如果依赖项存在问题,可以通过键入以下命令来解决它们:
[源代码文本=“ bash”] sudo apt install -f [/源代码]
如果系统支持RPM软件包,例如CentOS,RHEL,Fedora,openSUSE和衍生产品,则必须下载rpm软件包, 可以从以下链接获得。
完成下载 他们必须使用其首选的软件包管理器来安装软件包 或从终端,他们可以使用以下命令进行操作:
[源代码文本=“ bash”] sudo rpm -i google-chrome-stable_current_x86_64.rpm [/源代码]
对于Arch Linux及其衍生的系统,例如Manjaro,Antergos等,我们可以从AUR存储库中安装该应用程序。
他们只需在终端中键入以下命令:
[sourcecode text =“ bash”]是的-S google-chrome [/源代码]
由于是开源的简单事实,它本身已经是不安全的,使用这种软件值得浪费时间,因为有免费的替代品。