Google släppte en ny nöduppdatering i din Google Chrome-webbläsare, där den nya versionen 79.0.3945.130 kommer för att lösa tre sårbarheter som katalogiserades som kritik och en av dessa riktar sig till en som Microsoft fixat ett potentiellt farligt fel som gör att en angripare kan förfalska ett certifikat genom att låtsas att det kommer från en betrodd källa.
Sedan National Security Agency (NSA) informerade Microsoft om sårbarheten Det påverkar Windows 10, Windows Server 2016, Windows Server 2019 och Windows Server version 1803, enligt en rapport från myndigheten.
Om fixade buggar
Bristen påverkade krypteringen av digitala signaturer används för att autentisera innehåll, inklusive programvara eller filer. Om det exploderar, denna brist kan tillåta till dåligt avsedda människor skicka skadligt innehåll med falska signaturer som gör att det verkar säkert.
Det är därför Google släppte uppdateringen från Chrome 79.0.3945.130, som nu upptäcker certifikaten som försöker utnyttja sårbarheten CryptoAPI Windows CVE-2020-0601 upptäckt av NSA.
Som redan nämnts tillåter sårbarheten angripare att skapa TLS- och kodsigneringscertifikat som efterliknar andra företag för att utföra man-i-mitten-attacker eller skapa nätfiskewebbplatser.
Eftersom PoC: erna som utnyttjar sårbarheten CVE-2020-0601 redan har släppts, anser utgivaren att det bara är en tidsfråga innan angriparna enkelt börjar skapa förfalskade certifikat.
Chrome 79.0.3945.130därför kommer att ytterligare verifiera integriteten hos en webbplats certifikat innan du tillåter en besökare att komma åt webbplatsen. Googles Ryan Sleevi lade till koden för dubbel signaturverifiering på verifierade kanaler.
Ett annat problem kritiker som fixades med den här nya versionen, det var ett misslyckande som tillåter alla nivåer webbläsares säkerhets förbikoppling kör koden på systemet, ur säkerhets- och miljöhöljet.
Detaljer om den kritiska sårbarheten (CVE-2020-6378) har ännu inte avslöjats, det är bara känt att det orsakas av ett samtal till det redan frigjorda minnesblocket i taligenkänningskomponenten.
En annan sårbarhet löst (CVE-2020-6379) är också associerat med ett minnesblocksamtal redan släppt (Use-after-free) i taligenkänningskoden.
Medan ett mindre påverkansproblem (CVE-2020-6380) orsakas av felkontroll av plugin-meddelanden.
Slutligen erkände Sleevi att denna kontrollåtgärd inte är perfekt, men att det är tillräckligt för tillfället när användare implementerar säkerhetsuppdateringar för sina operativsystem och att Google går mot bättre verifierare.
Det är inte perfekt, men denna säkerhetskontroll är tillräcklig, det är dags för oss att gå vidare till en annan verifierare eller förstärka blockeringen av 3P-moduler, även för CAPI.
Om du vill veta mer om det Om den nya nöduppdateringen som släpptes för webbläsaren kan du kontrollera detaljerna I följande länk.
Hur uppdaterar jag Google Chrome i Ubuntu och derivat?
För att uppdatera webbläsaren till den nya versionen, Processen kan genomföras på två olika sätt.
Den första av dem det körs helt enkelt en apt-uppdatering och apt-uppgradering från terminalen (detta med hänsyn till att du gjorde installationen av webbläsaren och lade till sitt förvar i systemet).
Så för att utföra denna process, öppna bara en terminal (du kan göra det med kortkommandot Ctrl + Alt + T) och i den ska du skriva följande kommandon:
sudo apt update sudo apt upgrade
SlutligenDen andra metoden är om du installerade webbläsaren från deb-paketet som du laddar ner från webbläsarens officiella webbplats.
Här måste du gå igenom samma process igen, att ladda ner .deb-paketet från webbplatsen och sedan installera det via dpkg-pakethanteraren.
Även om denna process kan göras från terminalen genom att utföra följande kommandon:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f