Google frigav en ny nødopdatering i din Google Chrome-browser, hvor den nye version 79.0.3945.130 ankommer for at løse tre sårbarheder som blev katalogiseret som kritik, hvoraf den ene er rettet mod en der microsoft fikset en potentielt farlig fejl, der gjorde det muligt for en hacker at falske et certifikat ved at lade som om det kom fra en betroet kilde.
Siden National Security Agency (NSA) informerede Microsoft om sårbarheden Det påvirker Windows 10, Windows Server 2016, Windows Server 2019 og Windows Server version 1803ifølge en rapport fra regeringsorganet.
Om faste bugs
Fejlen påvirkede krypteringen af digitale signaturer bruges til at godkende indhold, inklusive software eller filer. Hvis det eksploderer, denne fejl kunne tillade til dårligt intentionede mennesker sende ondsindet indhold med falske underskrifter, der får det til at virke sikkert.
Det er derfor Google frigav opdateringen fra Chrome 79.0.3945.130, som nu registrerer certifikater, der forsøger at udnytte sårbarheden CryptoAPI Windows CVE-2020-0601 opdaget af NSA.
Som allerede nævnt tillader sårbarheden angribere at oprette TLS- og kodesigneringscertifikater, der efterligner andre virksomheder til at udføre mand-i-midten-angreb eller oprette phishing-websteder.
Da PoC'erne, der udnytter CVE-2020-0601-sårbarheden, allerede er frigivet, mener udgiveren, at det kun er et spørgsmål om tid, før angribere let begynder at oprette forfalskede certifikater.
Chrome 79.0.3945.130Derfor, kommer til yderligere at verificere integriteten af et websteds certifikat inden du giver en besøgende adgang til webstedet. Googles Ryan Sleevi tilføjede koden til bekræftelse af dobbelt signatur på bekræftede kanaler.
Et andet problem kritikere, der blev rettet med denne nye version, det var en fiasko, der tillader alle niveauer browsersikkerhedsomgåelse køre kode på systemet, uden for sikkerheds- og miljøindelukkingen.
Detaljer om den kritiske sårbarhed (CVE-2020-6378) er endnu ikke afsløret, det vides kun at være forårsaget af et opkald til den allerede frigjorte hukommelsesblok i talegenkendelseskomponenten.
En anden sårbarhed løst (CVE-2020-6379) er også forbundet med et hukommelsesblokopkald allerede frigivet (Brug efter-fri) i talegenkendelseskoden.
Mens et mindre problem (CVE-2020-6380) er forårsaget af en fejlkontrol af plugin-meddelelser.
Endelig erkendte Sleevi, at denne kontrolforanstaltning ikke er perfekt, men at den er tilstrækkelig for øjeblikket, når brugerne implementerer sikkerhedsopdateringer til deres operativsystemer, og at Google bevæger sig mod bedre verifikatorer.
Det er ikke perfekt, men denne sikkerhedskontrol er tilstrækkelig, det er på tide, at vi går videre til en anden verifikator eller styrker blokeringen af 3P-moduler, selv for CAPI.
Hvis du vil vide mere om det Om den nye nødopdatering, der er frigivet til browseren, kan du kontrollere detaljerne I det følgende link.
Hvordan opdateres Google Chrome i Ubuntu og derivater?
For at opdatere browseren til den nye version, Processen kan udføres på to forskellige måder.
Den første af dem det er simpelthen at udføre en apt-opdatering og apt-opgradering fra terminalen (dette under hensyntagen til, at du foretog installationen af browseren og tilføjede dens lager til systemet).
Så for at udføre denne proces, bare åbn en terminal (du kan gøre det med tastaturgenvejen Ctrl + Alt + T) og i det skal du skrive følgende kommandoer:
sudo apt update sudo apt upgrade
Endelig, den anden metode, er hvis du installerede browseren fra deb-pakken som du downloader fra browserens officielle hjemmeside.
Her skal du gennemgå den samme proces igen, at downloade .deb-pakken fra webstedet og derefter installere den via dpkg-pakkehåndteringen.
Selvom denne proces kan udføres fra terminalen ved at udføre følgende kommandoer:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f