Google đã phát hành một bản cập nhật khẩn cấp mới của trình duyệt Google Chrome của bạn, trong đó phiên bản mới 79.0.3945.130 đến để giải quyết ba lỗ hổng được xếp vào danh mục những lời chỉ trích và một trong số đó được đề cập đến một mà microsoft đã sửa một lỗi nguy hiểm tiềm ẩn cho phép kẻ tấn công giả mạo chứng chỉ bằng cách giả vờ rằng nó đến từ một nguồn đáng tin cậy.
Kể từ khi Cơ quan An ninh Quốc gia (NSA) thông báo cho Microsoft về lỗ hổng bảo mật Nó ảnh hưởng đến Windows 10, Windows Server 2016, Windows Server 2019 và Windows Server phiên bản 1803, theo một báo cáo từ cơ quan chính phủ.
Giới thiệu về các lỗi đã sửa
Lỗ hổng ảnh hưởng đến việc mã hóa chữ ký điện tử được sử dụng để xác thực nội dung, bao gồm cả phần mềm hoặc tệp. Nếu nó phát nổ, lỗ hổng này có thể cho phép cho những người có thiện chí gửi nội dung độc hại với chữ ký giả mạo để làm cho nội dung đó có vẻ an toàn.
Đó là lý do tại sao Google đã phát hành bản cập nhật từ Chrome 79.0.3945.130, hiện sẽ phát hiện các chứng chỉ cố gắng khai thác lỗ hổng bảo mật CryptoAPI Windows CVE-2020-0601 do NSA phát hiện.
Như đã đề cập, lỗ hổng này cho phép những kẻ tấn công tạo TLS và chứng chỉ ký mã mạo danh các công ty khác để thực hiện các cuộc tấn công trung gian hoặc tạo các trang web lừa đảo.
Vì các PoC khai thác lỗ hổng CVE-2020-0601 đã được phát hành, nhà xuất bản tin rằng chỉ còn là vấn đề thời gian trước khi những kẻ tấn công bắt đầu dễ dàng tạo các chứng chỉ giả mạo.
Chrome 79.0.3945.130do đó đến để xác minh thêm tính toàn vẹn của chứng chỉ của trang web trước khi cho phép khách truy cập vào trang web. Ryan Sleevi của Google đã thêm mã xác minh chữ ký kép trên các kênh đã xác minh.
Một vấn đề khác các nhà phê bình đã được khắc phục với phiên bản mới này, đó là một thất bại cho phép tất cả các cấp bỏ qua bảo mật trình duyệt chạy mã trên hệ thống, ra khỏi vỏ an toàn và môi trường.
Thông tin chi tiết về lỗ hổng nghiêm trọng (CVE-2020-6378) vẫn chưa được tiết lộ, nó chỉ được biết là do một lệnh gọi đến khối bộ nhớ đã được giải phóng trong thành phần nhận dạng giọng nói gây ra.
Một lỗ hổng bảo mật khác đã được giải quyết (CVE-2020-6379) cũng được liên kết với một cuộc gọi khối bộ nhớ đã được phát hành (Use-after-free) trong mã nhận dạng giọng nói.
Trong khi một vấn đề tác động nhỏ (CVE-2020-6380) là do lỗi kiểm tra thông báo plugin.
Cuối cùng, Sleevi thừa nhận rằng biện pháp kiểm soát này không phải là hoàn hảo, nhưng nó là đủ cho thời điểm này khi người dùng triển khai các bản cập nhật bảo mật cho hệ điều hành của họ và Google đang hướng tới những người xác minh tốt hơn.
Nó không phải là hoàn hảo, nhưng kiểm tra bảo mật này là đủ, đã đến lúc chúng ta chuyển sang một trình xác minh khác hoặc củng cố việc chặn các mô-đun 3P, ngay cả đối với CAPI.
Nếu bạn muốn biết thêm về nó Về bản cập nhật khẩn cấp mới được phát hành cho trình duyệt, bạn có thể kiểm tra chi tiết Trong liên kết sau đây.
Làm cách nào để cập nhật Google Chrome trong Ubuntu và các dẫn xuất?
Để cập nhật trình duyệt lên phiên bản mới, Quá trình này có thể được thực hiện theo hai cách khác nhau.
Người đầu tiên trong số họ nó chỉ đơn giản là thực hiện cập nhật apt và nâng cấp apt từ thiết bị đầu cuối (điều này có tính đến việc bạn đã thực hiện cài đặt trình duyệt thêm kho lưu trữ của nó vào hệ thống).
Vì vậy, để thực hiện quá trình này, chỉ cần mở một thiết bị đầu cuối (bạn có thể thực hiện bằng phím tắt Ctrl + Alt + T) và trong đó bạn sẽ nhập các lệnh sau:
sudo apt update sudo apt upgrade
Cuối cùngPhương pháp khác là nếu bạn đã cài đặt trình duyệt từ gói deb mà bạn tải xuống từ trang web chính thức của trình duyệt.
Ở đây bạn phải thực hiện lại quy trình tương tự, tải xuống gói .deb từ trang web và sau đó cài đặt nó thông qua trình quản lý gói dpkg.
Mặc dù quá trình này có thể được thực hiện từ thiết bị đầu cuối bằng cách thực hiện các lệnh sau:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f