Google ปล่อยอัปเดตฉุกเฉินใหม่ ของเบราว์เซอร์ Google Chrome ของคุณซึ่ง เวอร์ชันใหม่ 79.0.3945.130 มาถึงเพื่อแก้ไขช่องโหว่สามช่อง ซึ่งจัดทำรายการเป็น การวิพากษ์วิจารณ์และหนึ่งในนั้นได้รับการกล่าวถึง หนึ่งที่ ไมโครซอฟท์ แก้ไขข้อบกพร่องที่อาจเป็นอันตรายซึ่งทำให้ผู้โจมตีสามารถปลอมแปลงใบรับรองโดยแสร้งทำเป็นว่ามาจากแหล่งที่เชื่อถือได้
นับตั้งแต่สำนักงานความมั่นคงแห่งชาติ (NSA) แจ้งให้ไมโครซอฟต์ทราบถึงช่องโหว่ดังกล่าว มีผลกับ Windows 10, Windows Server 2016, Windows Server 2019 และ Windows Server เวอร์ชัน 1803ตามรายงานของหน่วยงานรัฐ
เกี่ยวกับข้อบกพร่องที่ได้รับการแก้ไข
ข้อบกพร่องส่งผลต่อการเข้ารหัสลายเซ็นดิจิทัล ใช้ในการตรวจสอบเนื้อหารวมถึงซอฟต์แวร์หรือไฟล์ ถ้ามันระเบิด ข้อบกพร่องนี้สามารถอนุญาตได้ กับคนที่เจตนาไม่ดี ส่งเนื้อหาที่เป็นอันตรายพร้อมลายเซ็นปลอมเพื่อให้ปรากฏว่าปลอดภัย
นั่นคือเหตุผล Google เปิดตัวการอัปเดต จาก Chrome 79.0.3945.130 ซึ่งตอนนี้จะตรวจพบใบรับรองที่พยายามใช้ช่องโหว่ CryptoAPI Windows CVE-2020-0601 ค้นพบโดย NSA
ดังที่ได้กล่าวไปแล้วช่องโหว่ดังกล่าวช่วยให้ผู้โจมตีสามารถสร้าง TLS และใบรับรองการลงนามรหัสที่แอบอ้างเป็น บริษัท อื่นเพื่อดำเนินการโจมตีแบบคนกลางหรือสร้างไซต์ฟิชชิ่ง
เนื่องจาก PoC ที่ใช้ประโยชน์จากช่องโหว่ CVE-2020-0601 ได้เผยแพร่ออกไปแล้วผู้เผยแพร่จึงเชื่อว่าต้องใช้เวลาเพียงไม่นานก่อนที่ผู้โจมตีจะเริ่มสร้างใบรับรองปลอมได้อย่างง่ายดาย
79.0.3945.130 Chromeดังนั้น มาเพื่อตรวจสอบความสมบูรณ์ของใบรับรองของเว็บไซต์เพิ่มเติม ก่อนที่จะอนุญาตให้ผู้เยี่ยมชมเข้าถึงไซต์ Ryan Sleevi ของ Google ได้เพิ่มรหัสสำหรับการยืนยันลายเซ็นสองครั้งในช่องที่ได้รับการยืนยัน
ปัญหาอื่น นักวิจารณ์ที่ได้รับการแก้ไขด้วยเวอร์ชันใหม่นี้ มันเป็นความล้มเหลวที่อนุญาตให้ทุกระดับ บายพาสความปลอดภัยของเบราว์เซอร์ รันโค้ดบนระบบออกจากกล่องหุ้มที่ปลอดภัยและสิ่งแวดล้อม
ยังไม่มีการเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ที่สำคัญ (CVE-2020-6378) เป็นที่ทราบกันดีว่าเกิดจากการเรียกไปยังบล็อกหน่วยความจำที่ว่างอยู่แล้วในองค์ประกอบการรู้จำเสียง
แก้ไขช่องโหว่อื่นแล้ว (CVE-2020-6379) ยังเชื่อมโยงกับการโทรบล็อกหน่วยความจำ เปิดตัวแล้ว (ใช้งานหลังจากฟรี) ในรหัสการรู้จำเสียง
ในขณะที่ปัญหาผลกระทบเล็กน้อย (CVE-2020-6380) เกิดจากข้อผิดพลาดในการตรวจสอบข้อความปลั๊กอิน
ในที่สุด Sleevi ก็ยอมรับว่ามาตรการควบคุมนี้ไม่สมบูรณ์แบบ แต่ก็เพียงพอแล้วในขณะนี้เนื่องจากผู้ใช้ใช้การอัปเดตความปลอดภัยสำหรับระบบปฏิบัติการของตนและ Google กำลังดำเนินไปสู่การยืนยันที่ดีขึ้น
มันไม่สมบูรณ์แบบ แต่การตรวจสอบความปลอดภัยนี้เพียงพอแล้วถึงเวลาแล้วที่เราต้องย้ายไปยังผู้ตรวจสอบรายอื่นหรือเสริมการบล็อกโมดูล 3P แม้กระทั่งสำหรับ CAPI
หากคุณต้องการทราบข้อมูลเพิ่มเติม เกี่ยวกับการอัปเดตฉุกเฉินใหม่สำหรับเบราว์เซอร์คุณสามารถตรวจสอบรายละเอียดได้ ในลิงค์ต่อไปนี้.
จะอัปเดต Google Chrome ใน Ubuntu และอนุพันธ์ได้อย่างไร
ในการอัปเดตเบราว์เซอร์เป็นเวอร์ชันใหม่ กระบวนการนี้สามารถดำเนินการได้สองวิธี
คนแรกของพวกเขา เพียงดำเนินการอัปเดต apt และอัปเกรด apt จากเทอร์มินัล (โดยคำนึงถึงว่าคุณได้ทำการติดตั้งเบราว์เซอร์โดยเพิ่มที่เก็บข้อมูลลงในระบบ)
เพื่อดำเนินการตามขั้นตอนนี้ เพียงแค่เปิดเทอร์มินัล (คุณสามารถทำได้โดยใช้แป้นพิมพ์ลัด Ctrl + Alt + T) และในนั้นคุณจะพิมพ์คำสั่งต่อไปนี้:
sudo apt update sudo apt upgrade
ในที่สุดอีกวิธีหนึ่งคือหากคุณติดตั้งเบราว์เซอร์จากแพ็คเกจ deb ที่คุณดาวน์โหลดจากเว็บไซต์อย่างเป็นทางการของเบราว์เซอร์
ที่นี่คุณต้องผ่านกระบวนการเดิมอีกครั้งของการดาวน์โหลดแพ็คเกจ. deb จากเว็บไซต์จากนั้นติดตั้งผ่านตัวจัดการแพ็คเกจ dpkg
แม้ว่ากระบวนการนี้สามารถทำได้จากเทอร์มินัลโดยดำเนินการคำสั่งต่อไปนี้:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f