Google julkaisi uuden hätäpäivityksen Google Chrome -selaimestasi, jossa uusi versio 79.0.3945.130 saapuu kolmen haavoittuvuuden ratkaisemiseksi jotka oli luetteloitu kritiikkiä, joista yksi on osoitettu yksi joka Microsoft on korjannut mahdollisesti vaarallisen virheen, jonka avulla hyökkääjä voi huijata varmenteen teeskentelemällä sen olevan luotetusta lähteestä.
Koska kansallinen turvallisuusvirasto (NSA) ilmoitti Microsoftille haavoittuvuudesta Se vaikuttaa Windows 10-, Windows Server 2016-, Windows Server 2019- ja Windows Server -versioihin 1803, valtion viraston raportin mukaan.
Tietoja kiinteistä virheistä
Virhe vaikutti digitaalisten allekirjoitusten salaamiseen käytetään todentamaan sisältöä, mukaan lukien ohjelmistot tai tiedostot. Jos se räjähtää, tämä virhe voisi sallia pahaa aikoville ihmisille lähettää haitallista sisältöä väärennetyillä allekirjoituksilla, jotka tekevät siitä turvallisen.
Siksi Google julkaisi päivityksen Chromesta 79.0.3945.130, joka havaitsee nyt haavoittuvuutta yrittävät varmenteet NSA: n löytämä CryptoAPI Windows CVE-2020-0601.
Kuten jo mainittiin, haavoittuvuus antaa hyökkääjille mahdollisuuden luoda TLS- ja koodin allekirjoitusvarmenteita, jotka esiintyvät muina yrityksinä suorittamaan man-in-the-middle-hyökkäyksiä tai luomaan tietojenkalastelusivustoja.
Koska CVE-2020-0601-haavoittuvuutta hyödyntävät PoC: t on jo julkaistu, julkaisija uskoo, että on vain ajan kysymys, ennen kuin hyökkääjät alkavat helposti luoda väärennettyjä varmenteita.
Chrome 79.0.3945.130siksi tarkistaa verkkosivuston varmenteen eheyden ennen kuin annat vierailijalle luvan käyttää sivustoa. Googlen Ryan Sleevi lisäsi koodin kaksinkertaisen allekirjoituksen vahvistamiseksi vahvistetuilla kanavilla.
Toinen ongelma kriitikot, jotka korjattiin tällä uudella versiolla, se oli vika, joka sallii kaikki tasot selaimen tietoturvan ohitus ajokoodi järjestelmässä, ulos turvallisesta ja ympäristöstä.
Kriittisen haavoittuvuuden (CVE-2020-6378) yksityiskohtia ei ole vielä paljastettu, tiedetään vain, että sen aiheuttaa puheentunnistuskomponentissa jo vapautettu muistilohkon kutsu.
Toinen haavoittuvuus ratkaistu (CVE-2020-6379) liittyy myös muistilohkopuheluun jo julkaistu (Use-after-free) puheentunnistuskoodissa.
Pieni vaikutusongelma (CVE-2020-6380) johtuu virheestä laajennussanomien tarkistuksessa.
Lopuksi Sleevi myönsi, että tämä valvontatoimenpide ei ole täydellinen, mutta että se riittää toistaiseksi, kun käyttäjät toteuttavat tietoturvapäivityksiä käyttöjärjestelmilleen ja että Google on siirtymässä kohti parempia todentajia.
Se ei ole täydellinen, mutta tämä turvatarkastus on riittävä, meidän on aika siirtyä toiseen todentajaan tai vahvistaa 3P-moduulien estämistä jopa CAPI: n tapauksessa.
Jos haluat tietää enemmän siitä Tietoja selaimen uudesta hätäpäivityksestä voit tarkistaa yksityiskohdat Seuraavassa linkissä.
Kuinka päivittää Google Chrome Ubuntussa ja johdannaisissa?
Voit päivittää selaimen uuteen versioon Prosessi voidaan suorittaa kahdella eri tavalla.
Ensimmäinen niistä se vain suorittaa apt-päivityksen ja apt-päivityksen päätelaitteesta (tämä ottaa huomioon, että teit selaimen asennuksen lisäämällä sen arkiston järjestelmään).
Joten suorittaa tämä prosessi, avaa vain terminaali (voit tehdä sen pikakuvakkeella Ctrl + Alt + T) ja siinä kirjoitat seuraavat komennot:
sudo apt update sudo apt upgrade
Vihdoin, toinen tapa on, jos olet asentanut selaimen deb-paketista jonka lataat selaimen viralliselta verkkosivustolta.
Täällä sinun on tehtävä sama prosessi uudelleen, lataamalla .deb-paketin verkkosivustolta ja asentamalla sen sitten dpkg-paketinhallinnan kautta.
Vaikka tämä prosessi voidaan tehdä päätelaitteesta suorittamalla seuraavat komennot:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f