Google izlaida jaunu ārkārtas atjauninājumu pārlūkprogrammā Google Chrome, kurā jaunā versija 79.0.3945.130 ierodas, lai novērstu trīs ievainojamības kas tika katalogizēti kā kritika, un viena no tām ir adresēta tāds, kas microsoft izlaboja potenciāli bīstamu kļūdu, kas ļautu uzbrucējam krāpties ar sertifikātu, izliekoties, ka tas nāk no uzticama avota.
Tā kā Nacionālā drošības aģentūra (NSA) informēja Microsoft par ievainojamību Tas ietekmē Windows 10, Windows Server 2016, Windows Server 2019 un Windows Server 1803 versiju, teikts valdības aģentūras ziņojumā.
Par fiksētām kļūdām
Kļūda ietekmēja digitālo parakstu šifrēšanu ko izmanto satura, tostarp programmatūras vai failu, autentificēšanai. Ja tas eksplodē, šis trūkums varētu pieļaut slikti domājošiem cilvēkiem nosūtīt ļaunprātīgu saturu ar viltotiem parakstiem, kas padara to drošu.
Tas ir iemesls, kāpēc Google izlaida atjauninājumu no pārlūka Chrome 79.0.3945.130, kas tagad atklās sertifikātus, kas mēģina izmantot ievainojamību NSA atklāja CryptoAPI Windows CVE-2020-0601.
Kā jau minēts, ievainojamība ļauj uzbrucējiem izveidot TLS un kodu parakstīšanas sertifikātus, kas uzdodas par citiem uzņēmumiem, lai veiktu uzbrukumus starp cilvēkiem vai izveidotu pikšķerēšanas vietnes.
Tā kā PoC, kas izmanto ievainojamību CVE-2020-0601, jau ir atbrīvoti, izdevējs uzskata, ka ir tikai laika jautājums, kad uzbrucēji sāks viegli izveidot viltotus sertifikātus.
Chrome 79.0.3945.130tāpēc nāk, lai vēl vairāk pārbaudītu vietnes sertifikāta integritāti pirms atļaut apmeklētājam piekļūt vietnei. Google Ryan Sleevi pievienoja kodu dubultparaksta pārbaudei verificētos kanālos.
Vēl viena problēma kritiķi, kas tika fiksēti ar šo jauno versiju, tā bija neveiksme, kas pieļauj visus līmeņus pārlūka drošības apvedceļš palaist kodu sistēmā, no droša un videi draudzīga korpusa.
Sīkāka informācija par kritisko ievainojamību (CVE-2020-6378) vēl nav atklāta, un to, kā zināms, izraisa tikai zvans uz jau atbrīvoto atmiņas bloku runas atpazīšanas komponentā.
Atrisināta vēl viena ievainojamība (CVE-2020-6379) ir saistīts arī ar atmiņas bloka zvanu runas atpazīšanas kodā jau ir izlaists (Use-after-free).
Kaut arī nelielu ietekmi (CVE-2020-6380) izraisa kļūda, pārbaudot spraudņa ziņojumus.
Visbeidzot, Sleevi atzina, ka šis kontroles pasākums nav ideāls, taču tas ir pietiekams šim brīdim, kad lietotāji ievieš drošības atjauninājumus savām operētājsistēmām un ka Google virzās uz labāku verificētāju izveidi.
Tas nav ideāls, taču šī drošības pārbaude ir pietiekama, mums ir pienācis laiks pāriet pie cita verificētāja vai ieviest 3P moduļu bloķēšanu pat CAPI.
Ja vēlaties uzzināt vairāk par to Par jauno ārkārtas atjauninājumu, kas izlaists pārlūkprogrammai, varat pārbaudīt informāciju Šajā saitē.
Kā atjaunināt Google Chrome Ubuntu un atvasinājumus?
Lai atjauninātu pārlūku uz jauno versiju, Procesu var veikt divos dažādos veidos.
Pirmais no tiem tas vienkārši izpilda apt atjauninājumu un apt jaunināšanu no termināla (ņemot vērā to, ka pārlūkprogrammas instalēšanu veicāt, pievienojot sistēmai tās krātuvi).
Lai veiktu šo procesu, vienkārši atveriet termināli (to var izdarīt, izmantojot īsinājumtaustiņu Ctrl + Alt + T) un tajā jūs rakstīsit šādas komandas:
sudo apt update sudo apt upgrade
BeidzotOtra metode ir, ja pārlūku instalējāt no deb pakotnes ko lejupielādējat no pārlūkprogrammas oficiālās vietnes.
Šeit jums ir jādara tas pats process vēlreiz, lejupielādējot .deb pakotni no vietnes un pēc tam instalējot to, izmantojot pakotņu pārvaldnieku dpkg.
Lai gan šo procesu var veikt no termināla, izpildot šādas komandas:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f