Google发布了新的紧急更新 您的Google Chrome浏览器中, 新版本79.0.3945.130到来以解决三个漏洞 被分类为 批评,其中之一是针对 一个那个 微软 修复了潜在的危险错误,该错误可能使攻击者假装证书来自受信任的来源,从而欺骗证书。
自国家安全局(NSA)通知Microsoft此漏洞以来, 它会影响Windows 10,Windows Server 2016,Windows Server 2019和Windows Server版本1803,根据政府机构的报告。
关于已修复的错误
该缺陷影响了数字签名的加密 用于认证内容,包括软件或文件。 如果爆炸了 这个缺陷可能允许 给有意向的人 发送带有虚假签名的恶意内容,使其显得安全。
这就是为什么 Google发布了更新 从Chrome 79.0.3945.130开始, 现在它将检测尝试利用此漏洞的证书 美国国家安全局(NSA)发现的CryptoAPI Windows CVE-2020-0601。
如前所述,该漏洞使攻击者可以创建TLS和代码签名证书,从而冒充其他公司进行中间人攻击或创建网络钓鱼站点。
利用CVE-2020-0601漏洞的PoC已经发布,发布者认为,攻击者开始轻松创建伪造证书只是时间问题。
铬79.0.3945.130的因此, 来进一步验证网站证书的完整性 在授权访问者访问该网站之前。 Google的Ryan Sleevi在经过验证的频道上添加了用于双重签名验证的代码。
另一个问题 新版本已修复的评论家, 这是一次失败,所有层面的失败 浏览器安全绕过 在系统上运行代码,放在安全和环保的外壳中。
有关严重漏洞(CVE-2020-6378)的详细信息尚未揭示,仅是由对语音识别组件中已释放的内存块的调用引起的。
解决了另一个漏洞 (CVE-2020-6379) 也与内存块调用相关联 已经在语音识别代码中发布(免费使用)。
轻微的影响问题(CVE-2020-6380)是由错误检查插件消息引起的。
最后,Sleevi承认这种控制措施并不完美,但是当用户为他们的操作系统实施安全更新并且Google朝着更好的验证者迈进之时,这已经足够了。
它不是完美的,但是此安全检查已足够,现在是时候让我们继续使用另一个验证程序或加强对3P模块的阻止,甚至对于CAPI也是如此。
如果您想了解更多 关于为浏览器发布的新紧急更新,您可以查看详细信息 在下面的链接中。
如何在Ubuntu及其衍生产品中更新Google Chrome?
为了将浏览器更新到新版本, 该过程可以以两种不同的方式进行。
他们中的第一个 它只是从终端执行apt更新和apt升级(考虑到您已经安装了浏览器并将其存储库添加到系统中)。
因此,要执行此过程, 只需打开一个终端 (您可以使用快捷键Ctrl + Alt + T来完成此操作) 然后在其中键入以下命令:
sudo apt update sudo apt upgrade
最后另一种方法是如果您是通过deb软件包安装的浏览器 从浏览器的官方网站上下载的。
在这里,您必须再次执行相同的过程,方法是从网站上下载.deb软件包,然后通过dpkg软件包管理器进行安装。
尽管可以通过执行以下命令从终端完成此过程:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f