Naglabas ang Google ng bagong update sa emergency ng iyong Google Chrome browser, kung saan ang bagong bersyon 79.0.3945.130 dumating upang malutas ang tatlong mga kahinaan na nakalista bilang mga pintas at isa rito ay tinutugunan isa na microsoft naayos ang isang potensyal na mapanganib na bug na magpapahintulot sa isang magsasalakay na manloko ng isang sertipiko sa pamamagitan ng pagpapanggap na nagmula ito sa isang pinagkakatiwalaang mapagkukunan.
Dahil sinabi ng National Security Agency (NSA) sa Microsoft ang kahinaan Nakakaapekto ito sa Windows 10, Windows Server 2016, Windows Server 2019, at Windows Server bersyon 1803, ayon sa isang ulat mula sa ahensya ng gobyerno.
Tungkol sa naayos na mga bug
Naapektuhan ng kamalian ang pag-encrypt ng mga digital na lagda ginamit upang patunayan ang nilalaman, kabilang ang software o mga file. Kung sasabog ito, maaaring payagan ang kapintasan na ito sa mga taong walang balak magpadala ng nakakahamak na nilalaman na may pekeng mga lagda na magpapakita na ligtas ito.
Ito ang dahilan Inilabas ng Google ang pag-update mula sa Chrome 79.0.3945.130, na makakakita ngayon ng mga sertipiko na sumusubok na samantalahin ang kahinaan Ang CryptoAPI Windows CVE-2020-0601 ay natuklasan ng NSA.
Tulad ng nabanggit na, pinahihintulutan ang kahinaan na lumikha ng mga TLS at mga sertipiko sa pag-sign ng code na gumagaya sa iba pang mga kumpanya upang magsagawa ng mga pag-atake sa gitna o lumikha ng mga site ng phishing.
Tulad ng pagsasamantala ng PoCs sa kahinaan ng CVE-2020-0601 ay inilabas na, naniniwala ang publisher na kaunting oras lamang bago magsimulang madaling lumikha ang mga sumasalakay sa mga huwad na sertipiko.
Chrome 79.0.3945.130samakatuwid ay dumarating upang higit na mapatunayan ang integridad ng isang sertipiko ng isang website bago pahintulutan ang isang bisita na mag-access sa site. Idinagdag ni Ryan Sleevi ng Google ang code para sa pag-verify ng dobleng lagda sa mga na-verify na channel.
Isa pang problema mga kritiko na naayos sa bagong bersyon na ito, ito ay isang pagkabigo na nagpapahintulot sa lahat ng mga antas bypass ng seguridad ng browser magpatakbo ng code sa system, sa labas ng ligtas at enclosure ng kapaligiran.
Ang mga detalye tungkol sa kritikal na kahinaan (CVE-2020-6378) ay hindi pa nagsiwalat, alam lamang na sanhi ng isang tawag sa napalaya na bloke ng memorya sa bahagi ng pagkilala sa pagsasalita.
Ang isa pang kahinaan ay nalutas (CVE-2020-6379) ay naiugnay din sa isang memory block call inilabas na (Use-after-free) sa code ng pagkilala sa pagsasalita.
Habang ang isang menor de edad na isyu ng epekto (CVE-2020-6380) ay sanhi ng isang error sa pagsuri ng mga mensahe ng plugin.
Sa wakas ay kinilala ni Sleevi na ang panukalang kontrol na ito ay hindi perpekto, ngunit sapat ito para sa sandaling ito habang nagpapatupad ang mga gumagamit ng mga update sa seguridad para sa kanilang mga operating system at ang Google ay gumagalaw patungo sa mas mahusay na mga verifier.
Hindi ito perpekto, ngunit sapat ang tseke sa seguridad na ito, oras na upang magpatuloy tayo sa isa pang nagpapatunay o upang mapalakas ang pagharang ng mga 3P module, kahit na para sa CAPI.
Kung nais mong malaman ang tungkol dito Tungkol sa bagong emergency update na inilabas para sa browser, maaari mong suriin ang mga detalye Sa sumusunod na link.
Paano i-update ang Google Chrome sa Ubuntu at mga derivatives?
Upang mai-update ang browser sa bagong bersyon, Ang proseso ay maaaring isagawa sa dalawang magkakaibang paraan.
Ang una sa kanila ito ay simpleng pagpapatupad ng isang apt na pag-update at apt na pag-upgrade mula sa terminal (isinasaalang-alang nito na ginawa mo ang pag-install ng browser na nagdaragdag ng imbakan nito sa system).
Kaya upang maisagawa ang prosesong ito, buksan mo na lang ang isang terminal (maaari mo itong gawin sa keyboard shortcut Ctrl + Alt + T) at sa loob nito ay mai-type mo ang mga sumusunod na utos:
sudo apt update sudo apt upgrade
Sa wakasAng iba pang pamamaraan ay kung na-install mo ang browser mula sa deb package na i-download mo mula sa opisyal na website ng browser.
Dito kailangan mong dumaan muli sa parehong proseso, ng pag-download ng .deb package mula sa website at pagkatapos mai-install ito sa pamamagitan ng dpkg package manager.
Kahit na ang prosesong ito ay maaaring gawin mula sa terminal sa pamamagitan ng pagpapatupad ng mga sumusunod na utos:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f