گوگل بروزرسانی اضطراری جدیدی را منتشر کرد از مرورگر Google Chrome خود ، در آن نسخه جدید 79.0.3945.130 به منظور حل سه آسیب پذیری وارد بازار می شود که به عنوان فهرست شده بودند انتقادهایی که یکی از آنها مورد خطاب قرار گرفته است یکی که مایکروسافت رفع اشکال بالقوه خطرناکی که به مهاجم اجازه می دهد با وانمود کردن اینکه این گواهی از منبع معتبری صادر شده ، جعل مجوز کند.
از آنجا که آژانس امنیت ملی (NSA) این آسیب پذیری را به مایکروسافت اطلاع داده است این ویندوز 10 ، ویندوز سرور 2016 ، ویندوز سرور 2019 و ویندوز سرور نسخه 1803 را تحت تأثیر قرار می دهد، طبق گزارشی از آژانس دولتی.
درباره اشکالات رفع شده
این نقص بر رمزگذاری امضاهای دیجیتالی تأثیر گذاشت برای تأیید اعتبار محتوا ، از جمله نرم افزار یا پرونده ها استفاده می شود. اگر منفجر شود ، این نقص می تواند اجازه دهد به افراد بد فکر محتوای مخربی را با امضاهای جعلی ارسال کنید که به نظر ایمن می رسد.
به همین دلیل است گوگل به روزرسانی را منتشر کرد از Chrome 79.0.3945.130 ، که اکنون گواهینامه هایی را که سعی در سو the استفاده از این آسیب پذیری دارند ، شناسایی می کند CryptoAPI Windows CVE-2020-0601 توسط NSA کشف شده است.
همانطور که قبلاً اشاره شد ، این آسیب پذیری به مهاجمین اجازه می دهد تا TLS و کد امضای گواهینامه هایی را جعل کنند که سایر شرکت ها را برای انجام حملات مردانه یا ایجاد سایتهای فیشینگ جعل می کند.
از آنجایی که PoC های بهره برداری از آسیب پذیری CVE-2020-0601 قبلاً آزاد شده اند ، ناشر معتقد است که فقط کافی است که مهاجمان شروع به ایجاد گواهینامه های جعلی کنند.
کروم 79.0.3945.130، بدین ترتیب، می آید تا صحت گواهی وب سایت را بیشتر بررسی کند قبل از اجازه بازدید کننده برای دسترسی به سایت. رایان اسلیوی از گوگل کدی را برای تأیید امضای مضاعف در کانال های تأیید شده اضافه کرد.
مشکل دیگر منتقدانی که با این نسخه جدید اصلاح شدند ، این یک شکست بود که به همه سطوح اجازه می دهد بای پس امنیتی مرورگر کد را روی سیستم اجرا کنید، خارج از محفظه ایمن و محیط زیست.
جزئیات مربوط به آسیب پذیری حیاتی (CVE-2020-6378) هنوز مشخص نشده است ، فقط مشخص شده است که علت آن تماس با بلوک حافظه از قبل آزاد شده در م recognitionلفه تشخیص گفتار است.
آسیب پذیری دیگر برطرف شد (CVE-2020-6379) همچنین با تماس بلوک حافظه همراه است قبلاً (در استفاده از پس از آزاد سازی) در کد تشخیص گفتار منتشر شده است.
در حالی که یک مشکل جزئی (CVE-2020-6380) به دلیل خطا در بررسی پیام های پلاگین ایجاد می شود.
سرانجام Sleevi اذعان کرد که این اندازه گیری کنترل کامل نیست ، اما برای کاربران کافی است که به روزرسانی های امنیتی را برای سیستم عامل های خود اجرا کنند و گوگل نیز به سمت تأییدکنندگان بهتر حرکت می کند.
کامل نیست ، اما این بررسی امنیتی کافی است ، وقت آن است که به یک تأیید کننده دیگر برویم یا مسدود کردن ماژول های 3P را حتی برای CAPI اعمال کنیم.
اگر می خواهید در این باره بیشتر بدانید درباره به روزرسانی اضطراری جدیدی که برای مرورگر منتشر شده است ، می توانید جزئیات را بررسی کنید در لینک زیر.
چگونه Google Chrome را در اوبونتو و مشتقات به روز کنیم؟
برای به روزرسانی مرورگر به نسخه جدید ، این فرایند را می توان به دو روش مختلف انجام داد.
اولین آنها این به سادگی در حال انجام یک به روزرسانی مناسب و ارتقاpt مناسب از ترمینال است (با در نظر گرفتن این که نصب مرورگر را به مخزن خود اضافه کرده و به سیستم اضافه کرده اید).
بنابراین برای انجام این فرایند ، فقط یک ترمینال را باز کنید (می توانید این کار را با میانبر صفحه کلید Ctrl + Alt + T انجام دهید) و در آن شما می خواهید دستورات زیر را تایپ کنید:
sudo apt update sudo apt upgrade
سرانجامروش دیگر این است که اگر مرورگر را از بسته deb نصب کرده اید که از وب سایت رسمی مرورگر بارگیری می کنید.
در اینجا شما باید همان روند را دوباره طی کنید، بارگیری بسته .deb از وب سایت و سپس نصب آن از طریق مدیر بسته dpkg.
اگرچه این فرایند از طریق ترمینال با اجرای دستورات زیر قابل انجام است:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f
اولین کسی باشید که نظر