Google a publié une nouvelle mise à jour d'urgence de votre navigateur Google Chrome, dans lequel la nouvelle version 79.0.3945.130 arrive afin de résoudre trois vulnérabilités qui ont été catalogués comme critiques et dont l'une s'adresse à une que Microsoft correction d'un bug potentiellement dangereux qui permettait à un attaquant d'usurper un certificat en prétendant qu'il provenait d'une source fiable.
Depuis que la National Security Agency (NSA) a informé Microsoft de la vulnérabilité Il affecte Windows 10, Windows Server 2016, Windows Server 2019 et Windows Server version 1803, selon un rapport de l'agence gouvernementale.
À propos des bogues corrigés
La faille a affecté le cryptage des signatures numériques utilisé pour authentifier le contenu, y compris les logiciels ou les fichiers. S'il explose, cette faille pourrait permettre aux personnes mal intentionnées envoyer du contenu malveillant avec de fausses signatures qui le rendent sûr.
Voilà pourquoi Google a publié la mise à jour à partir de Chrome 79.0.3945.130, qui va maintenant détecter les certificats qui tentent d'exploiter la vulnérabilité CryptoAPI Windows CVE-2020-0601 découvert par la NSA.
Comme déjà mentionné, la vulnérabilité permet aux attaquants de créer des certificats TLS et de signature de code qui usurpent l'identité d'autres entreprises pour mener des attaques d'intermédiaire ou créer des sites de phishing.
Les PoC exploitant la vulnérabilité CVE-2020-0601 ayant déjà été publiés, l'éditeur estime que ce n'est qu'une question de temps avant que les attaquants ne commencent à créer facilement des certificats falsifiés.
Chrome 79.0.3945.130, donc, vient vérifier davantage l'intégrité du certificat d'un site Web avant d'autoriser un visiteur à accéder au site. Ryan Sleevi de Google a ajouté le code pour la vérification de la double signature sur les canaux vérifiés.
Un autre problème critiques corrigées avec cette nouvelle version, c'était un échec qui permet à tous les niveaux contournement de la sécurité du navigateur exécuter du code sur le système, hors de l'enceinte de sécurité et d'environnement.
Les détails de la vulnérabilité critique (CVE-2020-6378) n'ont pas encore été révélés, on sait seulement qu'elle est causée par un appel au bloc mémoire déjà libéré dans le composant de reconnaissance vocale.
Une autre vulnérabilité résolue (CVE-2020-6379) est également associé à un appel de bloc mémoire déjà publié (Use-after-free) dans le code de reconnaissance vocale.
Alors qu'un problème d'impact mineur (CVE-2020-6380) est causé par une erreur de vérification des messages du plug-in.
Enfin, Sleevi a reconnu que cette mesure de contrôle n'est pas parfaite, mais qu'elle est suffisante pour le moment car les utilisateurs mettent en œuvre des mises à jour de sécurité pour leurs systèmes d'exploitation et que Google s'oriente vers de meilleurs vérificateurs.
Ce n'est pas parfait, mais ce contrôle de sécurité est suffisant, il est temps pour nous de passer à un autre vérificateur ou de renforcer le blocage des modules 3P, même pour CAPI.
Si vous voulez en savoir plus À propos de la nouvelle mise à jour d'urgence publiée pour le navigateur, vous pouvez vérifier les détails dans le lien suivant.
Comment mettre à jour Google Chrome dans Ubuntu et ses dérivés?
Afin de mettre à jour le navigateur vers la nouvelle version, Le processus peut être réalisé de deux manières différentes.
Le premier d'entre eux il exécute simplement une mise à jour apt et une mise à niveau apt à partir du terminal (ceci en tenant compte du fait que vous avez effectué l'installation du navigateur en ajoutant son référentiel au système).
Donc, pour effectuer ce processus, il suffit d'ouvrir un terminal (vous pouvez le faire avec le raccourci clavier Ctrl + Alt + T) et dans celui-ci, vous allez taper les commandes suivantes:
sudo apt update sudo apt upgrade
EnfinL'autre méthode est si vous avez installé le navigateur à partir du package deb que vous téléchargez à partir du site officiel du navigateur.
Ici, vous devez recommencer le même processus, de télécharger le package .deb depuis le site Web puis de l'installer via le gestionnaire de packages dpkg.
Bien que ce processus puisse être effectué à partir du terminal en exécutant les commandes suivantes:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f