„Google“ išleido naują skubios pagalbos atnaujinimą „Google Chrome“ naršyklėje, kurioje nauja versija 79.0.3945.130 pateikiama siekiant pašalinti tris pažeidžiamumus kurie buvo kataloguoti kaip kritika ir viena iš jų skirta vienas tas "Microsoft" ištaisė potencialiai pavojingą klaidą, kuri užpuolikui leis suklastoti sertifikatą apsimesdama, kad jis gautas iš patikimo šaltinio.
Kadangi Nacionalinė saugumo agentūra (NSA) informavo „Microsoft“ apie pažeidžiamumą Tai veikia „Windows 10“, „Windows Server 2016“, „Windows Server 2019“ ir „Windows Server 1803“ versijas, teigiama vyriausybės agentūros pranešime.
Apie ištaisytas klaidas
Šis trūkumas paveikė skaitmeninių parašų šifravimą naudojami tikrinant turinį, įskaitant programinę įrangą ar failus. Jei jis sprogs, šis trūkumas galėjo leisti blogos valios žmonėms siųsti kenkėjišką turinį su padirbtais parašais, kad jis atrodytų saugus.
Štai kodėl „Google“ išleido naujinį iš „Chrome“ 79.0.3945.130, kuris dabar aptiks pažymas bandančius išnaudoti sertifikatus NSA atrado „CryptoAPI Windows CVE-2020-0601“.
Kaip jau minėta, pažeidžiamumas suteikia galimybę užpuolikams sukurti TLS ir kodų pasirašymo sertifikatus, kurie apsimetinėja kitomis įmonėmis vykdyti išpuolius tarp žmogaus ar sukurti sukčiavimo svetaines.
Kadangi „PoC“, išnaudojantys CVE-2020-0601 pažeidžiamumą, jau buvo išleisti, leidėjas mano, kad tik laiko klausimas, kada užpuolikai pradės lengvai kurti suklastotus sertifikatus.
"Chrome 79.0.3945.130todėl ateina toliau tikrinti svetainės sertifikato vientisumo prieš leidžiant lankytojui patekti į svetainę. „Google“ Ryanas Sleevi pridėjo kodą dvigubam parašo patvirtinimui patvirtintuose kanaluose.
Kita problema kritikai, kurie buvo užfiksuoti šia nauja versija, tai buvo nesėkmė, leidžianti visus lygius naršyklės apėjimas paleisti sistemos kodą, iš saugaus ir aplinkos gaubto.
Išsami informacija apie kritinį pažeidžiamumą (CVE-2020-6378) dar neatskleidžiama, žinoma, kad ją sukėlė tik iškvietimas į jau atlaisvintą atminties bloką kalbos atpažinimo komponente.
Ištaisytas dar vienas pažeidžiamumas (CVE-2020-6379) taip pat yra susijęs su atminties bloko skambučiu jau atleistas („Use-after-free“) kalbos atpažinimo kode.
Nors nedidelę poveikio problemą (CVE-2020-6380) sukelia klaida tikrinant papildinio pranešimus.
Galiausiai Sleevi pripažino, kad ši kontrolės priemonė nėra tobula, tačiau jos šiuo metu pakanka, kai vartotojai įdiegia savo operacinių sistemų saugos naujinimus ir kad „Google“ eina link geresnių tikrintojų.
Tai nėra tobula, bet šio saugumo patikrinimo pakanka, mums laikas pereiti prie kito tikrintojo arba sustiprinti 3P modulių blokavimą, net ir CAPI.
Jei norite apie tai sužinoti daugiau Apie naują skubios pagalbos naujinimą, išleistą naršyklei, galite patikrinti išsamią informaciją Šioje nuorodoje.
Kaip atnaujinti „Google Chrome“ „Ubuntu“ ir jo dariniuose?
Norėdami atnaujinti naršyklę į naują versiją, Procesas gali būti atliekamas dviem skirtingais būdais.
Pirmasis iš jų tai paprasčiausiai vykdo apt atnaujinimą ir apt atnaujinimą iš terminalo (atsižvelgiant į tai, kad jūs įdiegėte naršyklę pridėdami jos saugyklą prie sistemos).
Taigi, norėdami atlikti šį procesą, tiesiog atidarykite terminalą (galite tai padaryti naudodami sparčiuosius klavišus „Ctrl“ + „Alt“ + T) ir jame ketinate įvesti šias komandas:
sudo apt update sudo apt upgrade
PagaliauKitas būdas yra, jei naršyklę įdiegėte iš „deb“ paketo atsisiųsti iš oficialios naršyklės svetainės.
Čia jūs turite vėl išgyventi tą patį procesą, atsisiųsti .deb paketą iš svetainės ir tada įdiegti per dpkg paketų tvarkyklę.
Nors šį procesą galima atlikti iš terminalo, vykdant šias komandas:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f