Google пусна нова спешна актуализация на вашия браузър Google Chrome, в който пристига новата версия 79.0.3945.130, за да се решат три уязвимости които бяха каталогизирани като критики и една от които е адресирана до един, който Microsoft коригира потенциално опасна грешка, която би позволила на нападателя да фалшифицира сертификат, като се преструва, че идва от доверен източник.
Тъй като Агенцията за национална сигурност (NSA) информира Microsoft за уязвимостта Това засяга Windows 10, Windows Server 2016, Windows Server 2019 и Windows Server версия 1803, според доклад на правителствената агенция.
Относно поправените грешки
Недостатъкът се отрази на криптирането на цифровите подписи използва се за удостоверяване на съдържание, включително софтуер или файлове. Ако избухне, този недостатък би могъл да позволи на недоброжелателни хора изпращайте злонамерено съдържание с фалшиви подписи, които го правят да изглежда безопасно.
Ето защо Google пусна актуализацията от Chrome 79.0.3945.130, който сега ще открие сертификатите, които се опитват да използват уязвимостта CryptoAPI Windows CVE-2020-0601, открит от NSA.
Както вече споменахме, уязвимостта позволява на атакуващите да създават TLS и сертификати за подписване на код, които се представят за други компании, за да извършват атаки човек в средата или да създават фишинг сайтове.
Тъй като PoCs, използващи уязвимостта CVE-2020-0601, вече са освободени, издателят смята, че е въпрос на време атаките да започнат лесно да създават фалшиви сертификати.
Chrome 79.0.3945.130Следователно, идва за допълнителна проверка на целостта на сертификата на уебсайт преди да упълномощите посетител за достъп до сайта. Ryan Sleevi от Google добави кода за проверка на двойния подпис в проверени канали.
Друг проблем критици, които бяха фиксирани с тази нова версия, това беше провал, който позволява всички нива байпас на защитата на браузъра стартиране на код в системата, извън заграждението за безопасност и околна среда.
Подробности за критичната уязвимост (CVE-2020-6378) тепърва ще бъдат разкрити, известно е само, че е причинена от повикване към вече освободения блок памет в компонента за разпознаване на реч.
Решена е друга уязвимост (CVE-2020-6379) е свързано и с извикване на блок памет вече освободен (Use-after-free) в кода за разпознаване на реч.
Докато незначителен проблем с въздействието (CVE-2020-6380) е причинен от съобщения за приставки за проверка на грешки.
Накрая Sleevi призна, че тази мярка за контрол не е перфектна, но че е достатъчна за момента, тъй като потребителите прилагат актуализации на защитата за своите операционни системи и че Google се насочва към по-добри верификатори.
Не е перфектно, но тази проверка за сигурност е достатъчна, време е да преминем към друг верификатор или да приложим блокирането на 3P модули, дори за CAPI.
Ако искате да научите повече за това За новата актуална актуализация, пусната за браузъра, можете да проверите подробностите В следващия линк.
Как да актуализирам Google Chrome в Ubuntu и деривати?
За да актуализирате браузъра до новата версия, Процесът може да се извърши по два различни начина.
Първият от тях това е просто изпълнение на подходяща актуализация и подходящо надграждане от терминала (това, като се вземе предвид, че сте извършили инсталацията на браузъра, добавяйки неговото хранилище към системата).
За да извършите този процес, просто отворете терминал (можете да го направите с клавишната комбинация Ctrl + Alt + T) и в него ще въведете следните команди:
sudo apt update sudo apt upgrade
НакраяДругият метод е, ако сте инсталирали браузъра от deb пакета които изтегляте от официалния уебсайт на браузъра.
Тук отново трябва да преминете през същия процес, за изтегляне на .deb пакета от уебсайта и след това инсталирането му чрез мениджъра на пакети dpkg.
Въпреки че този процес може да се извърши от терминала чрез изпълнение на следните команди:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f