גוגל פרסמה עדכון חירום חדש של דפדפן Google Chrome שלך, שבו הגרסה החדשה 79.0.3945.130 מגיעה על מנת לפתור שלוש נקודות תורפה שקוטלגו כ ביקורות ואחת מהן מופנית אחד ש מיקרוסופט תיקן באג שעלול להיות מסוכן שיאפשר לתוקף לזייף אישור על ידי העמדת פנים שהוא מקור ממקור מהימן.
מאז הסוכנות לביטחון לאומי (NSA) הודיעה למיקרוסופט על הפגיעות זה משפיע על Windows 10, Windows Server 2016, Windows Server 2019 ו- Windows Server גרסה 1803, על פי דו"ח של הסוכנות הממשלתית.
על באגים קבועים
הפגם השפיע על הצפנת החתימות הדיגיטליות משמש לאימות תוכן, כולל תוכנה או קבצים. אם זה מתפוצץ, פגם זה יכול לאפשר לאנשים בעלי כוונה רעה שלח תוכן זדוני עם חתימות מזויפות שגורמות לו להיראות בטוח.
זו הסיבה גוגל פרסמה את העדכון מ- Chrome 79.0.3945.130, אשר יאתרו כעת את האישורים המנסים לנצל את הפגיעות CryptoAPI Windows CVE-2020-0601 שהתגלה על ידי ה- NSA.
כאמור, הפגיעות מאפשרת לתוקפים ליצור אישורי TLS וחתימת קוד שמתחזים לחברות אחרות לבצע התקפות man-in-the-middle או ליצור אתרי פישינג.
מכיוון ש- PoCs המנצלים את הפגיעות CVE-2020-0601 כבר פורסמו, המו"ל סבור שזה רק עניין של זמן עד שהתוקפים יתחילו ליצור אישורים מזויפים בקלות.
כרום 79.0.3945.130, ולכן, בא לאמת את תקינות תעודת האתר לפני שמאשר למבקר לגשת לאתר. ריאן סליווי של גוגל הוסיף את הקוד לאימות חתימה כפולה בערוצים מאומתים.
בעיה נוספת מבקרים שתוקנו את הגרסה החדשה הזו, זה היה כישלון שמאפשר את כל הרמות עקיפת אבטחת הדפדפן להריץ קוד במערכת, מחוץ למתחם הבטוח והסביבתי.
פרטים על הפגיעות הקריטית (CVE-2020-6378) טרם נחשפו, ידוע שהיא נגרמת רק בגלל קריאה לחסימת הזיכרון שהשתחררה כבר ברכיב זיהוי הדיבור.
פגיעות נוספת נפתרה (CVE-2020-6379) משויך גם לשיחת חסימת זיכרון כבר שוחרר (Use-after-free) בקוד זיהוי הדיבור.
אמנם בעיית השפעה קלה (CVE-2020-6380) נגרמת על ידי שגיאה בבדיקת הודעות התוסף.
לבסוף Sleevi הודה כי אמצעי בקרה זה אינו מושלם, אך הוא מספיק כרגע כאשר משתמשים מיישמים עדכוני אבטחה עבור מערכות ההפעלה שלהם וכי גוגל מתקדמת לעבר מאמתים טובים יותר.
זה לא מושלם, אבל בדיקת אבטחה זו מספיקה, הגיע הזמן שנעבור לאימות אחר או לחזק את החסימה של מודולי 3P, אפילו עבור CAPI.
אם אתה רוצה לדעת יותר על זה על עדכון החירום החדש שפורסם עבור הדפדפן, תוכל לבדוק את הפרטים בקישור הבא.
כיצד לעדכן את גוגל כרום באובונטו ובנגזרות?
על מנת לעדכן את הדפדפן לגרסה החדשה, התהליך יכול להתבצע בשתי דרכים שונות.
הראשון שבהם הוא פשוט מבצע עדכון מתאים ושדרוג מתאים מהטרמינל (זאת בהתחשב בכך שביצעת את התקנת הדפדפן והוספת את המאגר שלו למערכת).
אז כדי לבצע את התהליך הזה, פשוט פתח מסוף (אתה יכול לעשות זאת באמצעות קיצור הדרך Ctrl + Alt + T) ובו אתה הולך להקליד את הפקודות הבאות:
sudo apt update sudo apt upgrade
בסופו של דברהשיטה האחרת היא אם התקנת את הדפדפן מחבילת deb שאתה מוריד מהאתר הרשמי של הדפדפן.
כאן אתה צריך לעבור את אותו התהליך שוב, של הורדת חבילת .deb מהאתר ואז התקנתה באמצעות מנהל החבילות dpkg.
למרות שניתן לעשות תהליך זה מהטרמינל על ידי ביצוע הפקודות הבאות:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f