Η Google κυκλοφόρησε μια νέα ενημέρωση έκτακτης ανάγκης του προγράμματος περιήγησης Google Chrome, στο οποίο η νέα έκδοση 79.0.3945.130 φτάνει προκειμένου να επιλυθούν τρεις ευπάθειες που καταγράφηκαν ως επικρίσεις και μια από τις οποίες απευθύνεται Ενα αυτο Microsoft διόρθωσε ένα δυνητικά επικίνδυνο σφάλμα που θα επέτρεπε σε έναν εισβολέα να πλαστογραφήσει ένα πιστοποιητικό, προσποιούμενο ότι προήλθε από αξιόπιστη πηγή.
Δεδομένου ότι η Εθνική Υπηρεσία Ασφάλειας (NSA) ενημέρωσε τη Microsoft για την ευπάθεια Επηρεάζει τα Windows 10, Windows Server 2016, Windows Server 2019 και Windows Server έκδοση 1803, σύμφωνα με έκθεση της κυβερνητικής υπηρεσίας.
Σχετικά με τα διορθωμένα σφάλματα
Το ελάττωμα επηρέασε την κρυπτογράφηση ψηφιακών υπογραφών χρησιμοποιείται για τον έλεγχο ταυτότητας περιεχομένου, συμπεριλαμβανομένων λογισμικού ή αρχείων. Αν εκραγεί, αυτό το ελάττωμα θα μπορούσε να επιτρέψει σε κακούς ανθρώπους στείλετε κακόβουλο περιεχόμενο με ψεύτικες υπογραφές που το καθιστούν ασφαλές.
Αυτός είναι ο λόγος για τον οποίο Η Google κυκλοφόρησε την ενημέρωση από το Chrome 79.0.3945.130, που τώρα θα εντοπίσει τα πιστοποιητικά που προσπαθούν να εκμεταλλευτούν την ευπάθεια CryptoAPI Windows CVE-2020-0601 ανακαλύφθηκε από την NSA.
Όπως αναφέρθηκε ήδη, η ευπάθεια επιτρέπει στους εισβολείς να δημιουργήσουν TLS και πιστοποιητικά υπογραφής κώδικα που πλαστοπροσωπούν άλλες εταιρείες για να πραγματοποιήσουν επιθέσεις man-in-the-middle ή να δημιουργήσουν ιστότοπους ηλεκτρονικού ψαρέματος (phishing).
Καθώς τα PoC που εκμεταλλεύονται την ευπάθεια CVE-2020-0601 έχουν ήδη κυκλοφορήσει, ο εκδότης πιστεύει ότι είναι μόνο θέμα χρόνου πριν οι εισβολείς αρχίσουν να δημιουργούν εύκολα πλαστά πιστοποιητικά.
Chrome 79.0.3945.130Επομένως, έρχεται να επαληθεύσει περαιτέρω την ακεραιότητα του πιστοποιητικού ενός ιστότοπου πριν εξουσιοδοτήσετε έναν επισκέπτη να έχει πρόσβαση στον ιστότοπο. Ο Ryan Sleevi της Google πρόσθεσε τον κωδικό για επαλήθευση διπλής υπογραφής σε επαληθευμένα κανάλια.
Ένα άλλο πρόβλημα κριτικοί που διορθώθηκαν με αυτήν τη νέα έκδοση, ήταν μια αποτυχία που επιτρέπει σε όλα τα επίπεδα παράκαμψη ασφάλειας προγράμματος περιήγησης εκτελέστε κώδικα στο σύστημα, έξω από το περίβλημα ασφαλείας και περιβάλλοντος.
Λεπτομέρειες σχετικά με την κρίσιμη ευπάθεια (CVE-2020-6378) δεν έχουν ακόμη αποκαλυφθεί, είναι γνωστό ότι προκαλείται μόνο από μια κλήση στο ήδη απελευθερωμένο μπλοκ μνήμης στο στοιχείο αναγνώρισης ομιλίας.
Μια άλλη ευπάθεια λύθηκε (CVE-2020-6379) σχετίζεται επίσης με μια κλήση μπλοκ μνήμης έχει ήδη κυκλοφορήσει (Use-after-free) στον κωδικό αναγνώρισης ομιλίας.
Ενώ ένα μικρό πρόβλημα επιπτώσεων (CVE-2020-6380) προκαλείται από σφάλμα κατά τον έλεγχο των μηνυμάτων προσθήκης.
Τέλος, ο Sleevi αναγνώρισε ότι αυτό το μέτρο ελέγχου δεν είναι τέλειο, αλλά ότι είναι αρκετό προς το παρόν καθώς οι χρήστες εφαρμόζουν ενημερώσεις ασφαλείας για τα λειτουργικά τους συστήματα και ότι η Google κινείται προς καλύτερους επαληθευτές.
Δεν είναι τέλειο, αλλά αυτός ο έλεγχος ασφαλείας είναι αρκετός, ήρθε η ώρα να προχωρήσουμε σε άλλο επαληθευτή ή να επιβάλουμε τον αποκλεισμό των μονάδων 3P, ακόμη και για το CAPI.
Αν θέλετε να μάθετε περισσότερα για αυτό Σχετικά με τη νέα ενημέρωση έκτακτης ανάγκης που κυκλοφόρησε για το πρόγραμμα περιήγησης, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.
Πώς να ενημερώσετε το Google Chrome στο Ubuntu και σε παράγωγα;
Για να ενημερώσετε το πρόγραμμα περιήγησης στη νέα έκδοση, Η διαδικασία μπορεί να πραγματοποιηθεί με δύο διαφορετικούς τρόπους.
Το πρώτο από αυτά απλώς εκτελεί μια κατάλληλη ενημέρωση και μια κατάλληλη αναβάθμιση από το τερματικό (λαμβάνοντας υπόψη ότι κάνατε την εγκατάσταση του προγράμματος περιήγησης προσθέτοντας το αποθετήριο του στο σύστημα).
Για να εκτελέσετε αυτήν τη διαδικασία, απλά ανοίξτε ένα τερματικό (μπορείτε να το κάνετε με τη συντόμευση πληκτρολογίου Ctrl + Alt + T) και σε αυτό θα πληκτρολογήσετε τις ακόλουθες εντολές:
sudo apt update sudo apt upgrade
ΤελικάΗ άλλη μέθοδος είναι εάν εγκαταστήσατε το πρόγραμμα περιήγησης από το πακέτο deb που κατεβάζετε από τον επίσημο ιστότοπο του προγράμματος περιήγησης.
Εδώ πρέπει να περάσετε ξανά από την ίδια διαδικασία, τη λήψη του πακέτου .deb από τον ιστότοπο και στη συνέχεια την εγκατάσταση μέσω του διαχειριστή πακέτων dpkg.
Αν και αυτή η διαδικασία μπορεί να γίνει από το τερματικό εκτελώντας τις ακόλουθες εντολές:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f