Google vydal novú núdzovú aktualizáciu vášho prehliadača Google Chrome, v ktorom prichádza nová verzia 79.0.3945.130 s cieľom vyriešiť tri chyby zabezpečenia ktoré boli katalogizované ako a jedna z nich je adresovaná jeden, ktorý Microsoft opravená potenciálne nebezpečná chyba, ktorá umožňovala útočníkovi sfalšovať certifikát predstieraním, že pochádza z dôveryhodného zdroja.
Keďže Národná bezpečnostná agentúra (NSA) informovala spoločnosť Microsoft o tejto zraniteľnosti Ovplyvňuje Windows 10, Windows Server 2016, Windows Server 2019 a Windows Server verzie 1803, vyplýva zo správy vládnej agentúry.
O opravených chybách
Táto chyba ovplyvnila šifrovanie digitálnych podpisov slúži na autentifikáciu obsahu vrátane softvéru alebo súborov. Ak to exploduje, táto chyba mohla dovoliť nedobrovoľným ľuďom odosielať škodlivý obsah s falošnými podpismi, vďaka ktorým sa javí ako bezpečný.
To je dôvod, prečo Spoločnosť Google vydala aktualizáciu z prehliadača Chrome 79.0.3945.130, ktorá teraz zistí certifikáty, ktoré sa snažia zneužiť danú chybu CryptoAPI Windows CVE-2020-0601 objavený NSA.
Ako už bolo spomenuté, zraniteľnosť umožňuje útočníkom vytvárať certifikáty TLS a podpisy kódu, ktoré sa vydávajú za iné spoločnosti pri útokoch typu man-in-the-middle alebo pri vytváraní phishingových stránok.
Pretože PoC využívajúce chybu CVE-2020-0601 už boli vydané, vydavateľ sa domnieva, že je len otázkou času, kedy útočníci začnú ľahko vytvárať falošné certifikáty.
Chrome 79.0.3945.130Z tohto dôvodu prichádza na ďalšie overenie integrity certifikátu webovej stránky pred oprávnením návštevníka na prístup na web. Ryan Sleevi z Googlu pridal kód na overenie dvojitého podpisu na overených kanáloch.
Iný problém kritici, ktorí boli postavení v tejto novej verzii, bola to porucha, ktorá umožňuje všetky úrovne zabezpečenie prehliadača spustiť kód v systéme, mimo bezpečného krytu a krytu prostredia.
Podrobnosti o kritickej zraniteľnosti (CVE-2020-6378) ešte neboli zverejnené, je známe iba to, že je to spôsobené volaním do pamäťového bloku, ktorý je už uvoľnený v komponente rozpoznávania reči.
Opravená ďalšia zraniteľnosť (CVE-2020-6379) je tiež spojené s volaním bloku pamäte už vydané (Use-after-free) v kóde rozpoznávania reči.
Aj keď menší problém s dopadom (CVE-2020-6380) je spôsobený chybou pri kontrole správ doplnkov.
Na záver Sleevi uznal, že toto kontrolné opatrenie nie je dokonalé, ale že v súčasnosti postačuje, keď používatelia implementujú aktualizácie zabezpečenia pre svoje operačné systémy a že spoločnosť Google smeruje k lepším overovateľom.
Nie je to dokonalé, ale táto bezpečnostná kontrola je dostatočná, je načase, aby sme prešli na iného overovateľa alebo vynútili blokovanie 3P modulov, a to aj v prípade CAPI.
Ak o tom chcete vedieť viac Podrobnosti o novej núdzovej aktualizácii vydanej pre prehliadač Na nasledujúcom odkaze.
Ako aktualizovať Google Chrome v Ubuntu a derivátoch?
Ak chcete aktualizovať prehľadávač na novú verziu, Proces sa môže uskutočňovať dvoma rôznymi spôsobmi.
Prvý z nich jednoducho vykonáva apt aktualizáciu a apt aktualizáciu z terminálu (toto zohľadňuje skutočnosť, že ste vykonali inštaláciu prehľadávača a do systému pridali svoje úložisko).
Aby sme teda mohli vykonať tento proces, stačí otvoriť terminál (zvládnete to pomocou klávesovej skratky Ctrl + Alt + T) a v ňom zadáte nasledujúce príkazy:
sudo apt update sudo apt upgrade
KonečneDruhou metódou je, ak ste prehliadač nainštalovali z balíka deb ktoré si stiahnete z oficiálnej webovej stránky prehliadača.
Tu musíte znova urobiť ten istý proces, stiahnutia balíka .deb z webovej stránky a jeho následnej inštalácie prostredníctvom správcu balíkov dpkg.
Aj keď tento proces je možné vykonať z terminálu vykonaním nasledujúcich príkazov:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f