Google ga ut en ny nødoppdatering av Google Chrome-nettleseren din, der den nye versjonen 79.0.3945.130 kommer for å løse tre sårbarheter som ble katalogisert som kritikk og den ene er adressert til en som Microsoft fikset en potensielt farlig feil som tillot en angriper å forfalske et sertifikat ved å late som om det kom fra en klarert kilde.
Siden National Security Agency (NSA) informerte Microsoft om sårbarheten Det påvirker Windows 10, Windows Server 2016, Windows Server 2019 og Windows Server versjon 1803, ifølge en rapport fra regjeringsbyrået.
Om faste bugs
Feilen påvirket krypteringen av digitale signaturer brukes til å autentisere innhold, inkludert programvare eller filer. Hvis det eksploderer, denne feilen kunne tillate til dårlig mentede mennesker sende skadelig innhold med falske signaturer som gjør at det virker trygt.
Det er derfor Google ga ut oppdateringen Chrome 79.0.3945.130, som nå vil oppdage sertifikatene som prøver å utnytte sårbarheten CryptoAPI Windows CVE-2020-0601 oppdaget av NSA.
Som allerede nevnt tillater sårbarheten angripere å opprette TLS- og kodesigneringssertifikater som etterligner andre selskaper for å utføre mann-i-midten-angrep eller opprette phishing-nettsteder.
Ettersom PoC-ene som utnytter sårbarheten CVE-2020-0601 allerede er utgitt, mener utgiveren at det bare er et spørsmål om tid før angripere begynner å lage smidde sertifikater.
Chrome 79.0.3945.130derfor, kommer for å ytterligere verifisere integriteten til et websidesertifikat før du tillater en besøkende å få tilgang til nettstedet. Googles Ryan Sleevi la til koden for dobbeltsignaturbekreftelse på bekreftede kanaler.
Et annet problem kritikere som ble løst med denne nye versjonen, det var en feil som tillater alle nivåer nettlesersikkerhetsomgåelse kjøre kode på systemet, ut av sikkerhets- og miljøkapslingen.
Detaljer om kritisk sårbarhet (CVE-2020-6378) har ennå ikke blitt avslørt, det er bare kjent at det er forårsaket av et anrop til minneblokken som allerede er frigjort i talegjenkjenningskomponenten.
En annen sårbarhet løst (CVE-2020-6379) er også forbundet med en minneblokking allerede utgitt (Bruk etter-fri) i talegjenkjenningskoden.
Mens et mindre innvirkningsproblem (CVE-2020-6380) er forårsaket av en feilkontroll av plugin-meldinger.
Endelig erkjente Sleevi at dette kontrolltiltaket ikke er perfekt, men at det er tilstrekkelig for øyeblikket når brukere implementerer sikkerhetsoppdateringer for operativsystemene sine, og at Google går mot bedre verifikatorer.
Det er ikke perfekt, men denne sikkerhetskontrollen er tilstrekkelig, det er på tide for oss å gå videre til en annen verifier eller forsterke blokkeringen av 3P-moduler, selv for CAPI.
Hvis du vil vite mer om det Om den nye nødoppdateringen som ble utgitt for nettleseren, kan du sjekke detaljene I den følgende lenken.
Hvordan oppdaterer jeg Google Chrome i Ubuntu og derivater?
For å oppdatere nettleseren til den nye versjonen, Prosessen kan utføres på to forskjellige måter.
Den første av dem det er ganske enkelt å utføre en apt-oppdatering og apt-oppgradering fra terminalen (dette med tanke på at du installerte nettleseren og la depotet til systemet).
Så for å utføre denne prosessen, bare åpne en terminal (du kan gjøre det med hurtigtasten Ctrl + Alt + T) og i den skal du skrive følgende kommandoer:
sudo apt update sudo apt upgrade
EndeligDen andre metoden er hvis du installerte nettleseren fra deb-pakken som du laster ned fra den offisielle nettsiden til nettleseren.
Her må du gjennom den samme prosessen igjen, laster ned .deb-pakken fra nettstedet og installerer den deretter via dpkg pakkebehandling.
Selv om denne prosessen kan gjøres fra terminalen ved å utføre følgende kommandoer:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f