Firma Google wydała nową aktualizację awaryjną przeglądarki Google Chrome, w której pojawia się nowa wersja 79.0.3945.130 w celu usunięcia trzech luk w zabezpieczeniach które zostały skatalogowane jako krytyka, z których jedna jest adresowana który Microsoft naprawiono potencjalnie niebezpieczny błąd, który umożliwiał atakującemu sfałszowanie certyfikatu przez udawanie, że pochodzi on z zaufanego źródła.
Od czasu, gdy Agencja Bezpieczeństwa Narodowego (NSA) poinformowała Microsoft o luce w zabezpieczeniach Dotyczy systemów Windows 10, Windows Server 2016, Windows Server 2019 i Windows Server w wersji 1803, zgodnie z raportem agencji rządowej.
O naprawionych błędach
Usterka dotyczyła szyfrowania podpisów cyfrowych używane do uwierzytelniania treści, w tym oprogramowania lub plików. Jeśli wybuchnie, ta wada może na to pozwolić ludziom o złych zamiarach wysyłać złośliwą zawartość z fałszywymi podpisami, które sprawiają, że wydaje się ona bezpieczna.
Dlatego Google wydało aktualizację z Chrome 79.0.3945.130, który teraz wykryje certyfikaty, które próbują wykorzystać lukę CryptoAPI Windows CVE-2020-0601 wykryty przez NSA.
Jak już wspomniano, luka umożliwia atakującym tworzenie certyfikatów TLS i podpisywania kodu, które podszywają się pod inne firmy w celu przeprowadzania ataków typu man-in-the-middle lub tworzenia witryn phishingowych.
Ponieważ dokumenty PoC wykorzystujące lukę CVE-2020-0601 zostały już udostępnione, wydawca uważa, że to tylko kwestia czasu, zanim osoby atakujące zaczną łatwo tworzyć sfałszowane certyfikaty.
Chrome 79.0.3945.130, Zatem przychodzi do dalszej weryfikacji integralności certyfikatu witryny internetowej przed zezwoleniem odwiedzającemu na dostęp do witryny. Ryan Sleevi z Google dodał kod do weryfikacji podwójnego podpisu na zweryfikowanych kanałach.
Kolejny problem krytycy, którzy zostali naprawieni w nowej wersji, była to porażka, która pozwala na wszystkie poziomy obejście zabezpieczeń przeglądarki uruchomić kod w systemie, poza bezpieczną i środowiskową obudową.
Szczegóły dotyczące krytycznej luki w zabezpieczeniach (CVE-2020-6378) nie zostały jeszcze ujawnione, wiadomo, że jest ona spowodowana jedynie wywołaniem zwolnionego już bloku pamięci w komponencie rozpoznawania mowy.
Kolejna luka rozwiązana (CVE-2020-6379) jest również powiązany z wywołaniem bloku pamięci już zwolniony (Use-after-free) w kodzie rozpoznawania mowy.
Chociaż niewielki problem z wpływem (CVE-2020-6380) jest spowodowany błędem sprawdzania komunikatów wtyczki.
Wreszcie Sleevi przyznał, że ten środek kontrolny nie jest doskonały, ale na razie wystarczy, ponieważ użytkownicy wdrażają aktualizacje zabezpieczeń do swoich systemów operacyjnych i że Google zmierza w kierunku lepszych weryfikatorów.
Nie jest doskonały, ale ta kontrola bezpieczeństwa wystarczy, czas przejść do kolejnego weryfikatora lub wzmocnić blokowanie modułów 3P, nawet dla CAPI.
Jeśli chcesz dowiedzieć się więcej na ten temat O nowej aktualizacji awaryjnej wydanej dla przeglądarki możesz sprawdzić szczegóły W poniższym linku.
Jak zaktualizować Google Chrome w Ubuntu i pochodnych?
Aby zaktualizować przeglądarkę do nowej wersji, Proces można przeprowadzić na dwa różne sposoby.
Pierwszy z nich po prostu wykonuje aktualizację apt i aktualizację apt z terminala (biorąc pod uwagę, że wykonałeś instalację przeglądarki, dodając jej repozytorium do systemu).
Aby wykonać ten proces, po prostu otwórz terminal (możesz to zrobić za pomocą skrótu klawiaturowego Ctrl + Alt + T) iw nim wpiszesz następujące polecenia:
sudo apt update sudo apt upgrade
W końcuInną metodą jest zainstalowanie przeglądarki z pakietu deb które pobierasz z oficjalnej strony przeglądarki.
Tutaj musisz ponownie przejść przez ten sam proces, pobierania pakietu .deb ze strony internetowej, a następnie instalowania go za pośrednictwem menedżera pakietów dpkg.
Chociaż ten proces można wykonać z terminala, wykonując następujące polecenia:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f