O Google lançou uma nova atualização de emergência do seu navegador Google Chrome, no qual a nova versão 79.0.3945.130 chega para resolver três vulnerabilidades que foram catalogados como críticas e uma das quais é dirigida a uma que Microsoft corrigiu um bug potencialmente perigoso que permitiria a um invasor falsificar um certificado fingindo que ele veio de uma fonte confiável.
Como a National Security Agency (NSA) informou a Microsoft sobre a vulnerabilidade Afeta o Windows 10, Windows Server 2016, Windows Server 2019 e Windows Server versão 1803, de acordo com relatório do órgão governamental.
Sobre bugs corrigidos
A falha afetou a criptografia de assinaturas digitais usado para autenticar conteúdo, incluindo software ou arquivos. Se explodir, esta falha poderia permitir para pessoas mal intencionadas enviar conteúdo malicioso com assinaturas falsas que o fazem parecer seguro.
É por isso que Google lançou a atualização do Chrome 79.0.3945.130, que agora detectará os certificados que tentam explorar a vulnerabilidade CryptoAPI Windows CVE-2020-0601 descoberto pela NSA.
Como já mencionado, a vulnerabilidade permite que os invasores criem certificados TLS e de assinatura de código que se fazem passar por outras empresas para realizar ataques man-in-the-middle ou criar sites de phishing.
Como os PoCs que exploram a vulnerabilidade CVE-2020-0601 já foram lançados, o editor acredita que é apenas uma questão de tempo antes que os invasores comecem a criar certificados falsificados com facilidade.
Chrome 79.0.3945.130, portanto, vem para verificar ainda mais a integridade do certificado de um site antes de autorizar um visitante a acessar o site. Ryan Sleevi do Google adicionou o código para verificação de assinatura dupla em canais verificados.
Outro problema críticos que foram corrigidos com esta nova versão, foi uma falha que permite todos os níveis desvio de segurança do navegador executar código no sistema, fora do compartimento seguro e do ambiente.
Detalhes sobre a vulnerabilidade crítica (CVE-2020-6378) ainda não foram revelados, só se sabe que foi causada por uma chamada para o bloco de memória já liberado no componente de reconhecimento de voz.
Outra vulnerabilidade resolvida (CVE-2020-6379) também está associado a uma chamada de bloco de memória já liberado (Use-after-free) no código de reconhecimento de fala.
Embora um problema de impacto menor (CVE-2020-6380) seja causado por um erro ao verificar as mensagens do plugin.
Por fim, Sleevi reconheceu que essa medida de controle não é perfeita, mas é suficiente no momento, à medida que os usuários implementam atualizações de segurança para seus sistemas operacionais e que o Google está se movendo em direção a verificadores melhores.
Não é perfeito, mas essa verificação de segurança é suficiente, é hora de passarmos para outro verificador ou de reforçar o bloqueio de módulos 3P, mesmo para CAPI.
Se você quiser saber mais sobre isso Sobre a nova atualização de emergência lançada para o navegador, você pode verificar os detalhes no link a seguir.
Como atualizar o Google Chrome no Ubuntu e derivados?
Para atualizar o navegador para a nova versão, O processo pode ser realizado de duas maneiras diferentes.
O primeiro deles é simplesmente executar uma atualização do apt e uma atualização do apt a partir do terminal (isso levando em consideração que você fez a instalação do navegador adicionando seu repositório ao sistema).
Então, para realizar este processo, apenas abra um terminal (você pode fazer isso com o atalho Ctrl + Alt + T) e nele você digitará os seguintes comandos:
sudo apt update sudo apt upgrade
FinalmenteO outro método é se você instalou o navegador do pacote deb que você baixa do site oficial do navegador.
Aqui você tem que passar pelo mesmo processo novamente, de baixar o pacote .deb do site e depois instalá-lo por meio do gerenciador de pacotes dpkg.
Embora esse processo possa ser feito a partir do terminal, executando os seguintes comandos:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f