Google heeft een nieuwe noodupdate uitgebracht van uw Google Chrome-browser, waarin de nieuwe versie 79.0.3945.130 arriveert om drie kwetsbaarheden op te lossen die werden gecatalogiseerd als kritiek en een daarvan is gericht aan een Dat Microsoft een potentieel gevaarlijke bug verholpen waardoor een aanvaller een certificaat kon vervalsen door te doen alsof het van een vertrouwde bron kwam.
Omdat de National Security Agency (NSA) Microsoft op de hoogte bracht van de kwetsbaarheid Het is van invloed op Windows 10, Windows Server 2016, Windows Server 2019 en Windows Server versie 1803, volgens een rapport van de overheidsinstantie.
Over opgeloste bugs
De fout had betrekking op de versleuteling van digitale handtekeningen gebruikt om inhoud te authenticeren, inclusief software of bestanden. Als het explodeert, deze fout zou kunnen toelaten aan mensen met slechte bedoelingen stuur kwaadaardige inhoud met valse handtekeningen waardoor deze veilig lijkt.
Dit is waarom Google heeft de update uitgebracht van Chrome 79.0.3945.130, die nu de certificaten zal detecteren die proberen misbruik te maken van de kwetsbaarheid CryptoAPI Windows CVE-2020-0601 ontdekt door de NSA.
Zoals eerder vermeld, stelt de kwetsbaarheid aanvallers in staat om TLS- en code-ondertekeningscertificaten te maken die zich voordoen als andere bedrijven om man-in-the-middle-aanvallen uit te voeren of phishing-sites te maken.
Aangezien de PoC's die misbruik maken van de kwetsbaarheid CVE-2020-0601 al zijn vrijgegeven, is de uitgever van mening dat het slechts een kwestie van tijd is voordat aanvallers gemakkelijk vervalste certificaten beginnen te creëren.
Chrome 79.0.3945.130daarom komt om de integriteit van het certificaat van een website verder te verifiëren voordat u een bezoeker toestemming geeft om de site te bezoeken. Ryan Sleevi van Google heeft de code toegevoegd voor dubbele handtekeningverificatie op geverifieerde kanalen.
Een ander probleem critici die zijn opgelost met deze nieuwe versie, het was een mislukking die alle niveaus toelaat browserbeveiliging omzeilen voer code uit op het systeem, uit de veilige en omgevingsbehuizing.
Details over de kritieke kwetsbaarheid (CVE-2020-6378) zijn nog niet onthuld, het is alleen bekend dat deze wordt veroorzaakt door een oproep naar het geheugenblok dat al is vrijgemaakt in de spraakherkenningscomponent.
Een andere kwetsbaarheid is opgelost (CVE-2020-6379) wordt ook geassocieerd met een geheugenblokoproep al vrijgegeven (Use-after-free) in de spraakherkenningscode.
Hoewel een klein probleem met de impact (CVE-2020-6380) wordt veroorzaakt door een fout bij het controleren van plugin-berichten.
Ten slotte erkende Sleevi dat deze controlemaatregel niet perfect is, maar dat het op dit moment voldoende is, aangezien gebruikers beveiligingsupdates voor hun besturingssystemen implementeren en dat Google op weg is naar betere verificateurs.
Het is niet perfect, maar deze beveiligingscontrole is voldoende, het wordt tijd dat we overstappen naar een andere verificateur of het blokkeren van 3P-modules versterken, zelfs voor CAPI.
Als je er meer over wilt weten Over de nieuwe noodupdate die voor de browser is uitgebracht, kunt u de details bekijken In de volgende link.
Hoe Google Chrome updaten in Ubuntu en derivaten?
Om de browser bij te werken naar de nieuwe versie, Het proces kan op twee verschillende manieren worden uitgevoerd.
De eerste van hen het is gewoon het uitvoeren van een apt-update en een apt-upgrade vanaf de terminal (dit rekening houdend met het feit dat u de browserinstallatie hebt uitgevoerd door de repository aan het systeem toe te voegen).
Dus om dit proces uit te voeren, open gewoon een terminal (je kunt het doen met de sneltoets Ctrl + Alt + T) en daarin ga je de volgende commando's typen:
sudo apt update sudo apt upgrade
EindelijkDe andere methode is als u de browser installeert vanuit het deb-pakket die u downloadt van de officiële website van de browser.
Hier moet je hetzelfde proces opnieuw doorlopen, door het .deb-pakket van de website te downloaden en het vervolgens te installeren via de dpkg-pakketbeheerder.
Hoewel dit proces vanaf de terminal kan worden uitgevoerd door de volgende opdrachten uit te voeren:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f