A Google új sürgősségi frissítést adott ki a Google Chrome böngészőjéből, amelyben az új 79.0.3945.130 verzió három biztonsági rés megoldása érdekében érkezik amelyeket úgy katalogizáltak kritikák, amelyek közül az egyik címzettje az egyik microsoft kijavított egy potenciálisan veszélyes hibát, amely lehetővé tette a támadók számára, hogy meghamisítsák a tanúsítványt, úgy téve, mintha megbízható forrásból származna.
Mivel a Nemzetbiztonsági Ügynökség (NSA) tájékoztatta a Microsoftot a sebezhetőségről A Windows 10-et, a Windows Server 2016-ot, a Windows Server 2019-et és a Windows Server 1803-as verzióját érinti, a kormányhivatal jelentése szerint.
A javított hibákról
A hiba a digitális aláírások titkosítását érintette tartalom, beleértve a szoftvereket vagy fájlokat, hitelesítésére használják. Ha felrobban, ez a hiba megengedhette rossz szándékú embereknek rosszindulatú tartalmat küldhet hamis aláírásokkal, amelyek biztonságosnak tűnnek.
Ezért A Google kiadta a frissítést a Chrome-tól 79.0.3945.130, amely most észleli a biztonsági rést kihasználni próbáló tanúsítványokat Az NSA által felfedezett CryptoAPI Windows CVE-2020-0601.
Mint már említettük, a biztonsági rés lehetővé teszi a támadók számára, hogy TLS- és kód-aláíró tanúsítványokat hozzanak létre, amelyek más vállalatokat megszemélyesítenek a közepes szintű támadások végrehajtására vagy az adathalász webhelyek létrehozására.
Mivel a CVE-2020-0601 biztonsági rést kihasználó PoC-k már megjelentek, a kiadó úgy véli, hogy csak idő kérdése, hogy a támadók könnyen elkezdjenek hamisított tanúsítványokat létrehozni.
Chrome 79.0.3945.130ezért jön, hogy tovább ellenőrizze a webhely tanúsítványának integritását mielőtt felhatalmazná a látogatót a webhely elérésére. A Google Ryan Sleevi hozzáadta a kódot a kettős aláírás ellenőrzéséhez az ellenőrzött csatornákon.
Még egy probléma kritikusok, akiket ezzel az új verzióval rögzítettek, minden szinten megengedett kudarc volt böngésző biztonsági bypass futtató kódot a rendszeren, ki a biztonságos és környezetvédelmi zónából.
A kritikus sebezhetőség (CVE-2020-6378) részleteit még nem árulták el, azt csak a beszédfelismerő komponensben már felszabadított memóriablokk felé történő hívás okozza.
Újabb biztonsági rés megoldódott (CVE-2020-6379) memóriablokk-hívással is társul már megjelent (Use-after-free) a beszédfelismerő kódban.
Míg egy kisebb hatással járó problémát (CVE-2020-6380) a plugin üzenetek ellenőrzése során fellépő hiba okoz.
Végül Sleevi elismerte, hogy ez az ellenőrzési intézkedés nem tökéletes, de egyelőre elegendő, mivel a felhasználók biztonsági frissítéseket hajtanak végre operációs rendszereiken, és hogy a Google jobb ellenőrzők felé halad.
Nem tökéletes, de ez a biztonsági ellenőrzés elegendő, itt az ideje, hogy továbblépjünk egy másik hitelesítőhöz, vagy kikényszerítsük a 3P modulok blokkolását, még a CAPI esetében is.
Ha többet szeretne tudni róla A böngésző számára kiadott új sürgősségi frissítésről ellenőrizheti a részleteket A következő linken.
Hogyan lehet frissíteni a Google Chrome-ot az Ubuntuban és a származékaiban?
A böngésző új verzióra való frissítése érdekében A folyamat kétféle módon hajtható végre.
Az első közülük egyszerűen egy apt frissítést és az apt frissítést hajt végre a terminálról (ez figyelembe veszi, hogy a böngésző telepítését a tárolójának a rendszerhez történő hozzáadásával hajtotta végre).
Tehát ennek a folyamatnak a végrehajtásához csak nyisson meg egy terminált (a Ctrl + Alt + T parancsikon segítségével megteheti) és a következő parancsokat írja be:
sudo apt update sudo apt upgrade
Végül, a másik módszer, ha a böngészőt a deb csomagból telepítette amelyet a böngésző hivatalos webhelyéről tölt le.
Itt újra át kell esnie ugyanazon a folyamaton, hogy letölti a .deb csomagot a webhelyről, majd telepíti a dpkg csomagkezelőn keresztül.
Bár ez a folyamat a terminálról a következő parancsok végrehajtásával hajtható végre:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f