Den seneste opdatering til Google Chrome-browser er ude og støder det firedelte versionsnummer til 104.0.5112.101 (Mac og Linux), eller til 104.0.5112.102 (Windows).
Ifølge Google indeholder den nye version 11 sikkerhedsrettelser, hvoraf den ene er kommenteret med bemærkningen, at "en udnyttelse [for denne sårbarhed] findes i naturen", hvilket gør det til et nul-dages hul.
Navnet zero-day er en påmindelse om, at der var nul dage, hvor selv den mest velinformerede og proaktive bruger eller sysadmin kunne være blevet patchet forud for Bad Guys.
Opdater detaljer
Detaljer om opdateringerne er sparsomme, da Google, i lighed med mange andre leverandører i disse dage, begrænser adgangen til fejloplysninger "indtil et flertal af brugere er opdateret med en rettelse".
Men Googles frigive bulletin opregner eksplicit 10 af de 11 fejl, som følger:
- CVE-2022-2852: Brug efter gratis i FedCM.
- CVE-2022-2854: Brug efter gratis i SwiftShader.
- CVE-2022-2855: Brug efter fri i ANGLE.
- CVE-2022-2857: Brug efter gratis i Blink.
- CVE-2022-2858: Brug efter gratis i Log-In Flow.
- CVE-2022-2853: Heap bufferoverløb i downloads.
- CVE-2022-2856: Utilstrækkelig validering af upålidelige input i Intents. (Nul-dag.)
- CVE-2022-2859: Brug after free i Chrome OS Shell.
- CVE-2022-2860: Utilstrækkelig håndhævelse af politik i cookies.
- CVE-2022-2861: Upassende implementering i Extensions API.
Som du kan se, var syv af disse fejl forårsaget af hukommelsesfejl.
A bruge efter frigivelse sårbarhed betyder, at en del af Chrome tilbageleverede en hukommelsesblok, som den ikke havde planer om at bruge mere, så den kunne omfordeles til brug andre steder i softwaren...
...kun for at fortsætte med at bruge den hukommelse alligevel, hvilket potentielt får en del af Chrome til at stole på data, som den troede, den kunne stole på, uden at være klar over, at en anden del af softwaren muligvis stadig manipulerer med disse data.
Ofte vil fejl af denne art få softwaren til at gå helt ned ved at ødelægge beregninger eller hukommelsesadgang på en uoprettelig måde.
Nogle gange kan brug-efter-fri-fejl dog udløses bevidst for at misdirigere softwaren, så den opfører sig forkert (for eksempel ved at springe et sikkerhedstjek over eller stole på den forkerte blok af inputdata) og fremkalder uautoriseret adfærd.
A heap buffer overløb betyder at bede om en hukommelsesblok, men at skrive flere data ud, end der passer sikkert ind i den.
Dette overskrider den officielt tildelte buffer og overskriver data i den næste hukommelsesblok, selvom denne hukommelse måske allerede er i brug af en anden del af programmet.
Bufferoverløb producerer derfor typisk lignende bivirkninger som brug-efter-fri-fejl: for det meste vil det sårbare program gå ned; nogle gange kan programmet dog narre til at køre upålidelig kode uden varsel.
Nuldages hullet
Zero-day fejlen CVE-2022-2856 præsenteres med ikke flere detaljer end du ser ovenfor: "Utilstrækkelig validering af upålidelige input i Intents."
En Chrome Intent er en mekanisme til at udløse apps direkte fra en webside, hvor data på websiden føres ind i en ekstern app, der er lanceret for at behandle disse data.
Google har ikke givet nogen detaljer om, hvilke apps eller hvilken slags data, der kan manipuleres ondsindet af denne fejl...
…men faren virker ret indlysende, hvis den kendte udnyttelse involverer lydløst at fodre en lokal app med den slags risikable data, som normalt ville blive blokeret af sikkerhedsmæssige årsager.
Hvad skal jeg gøre?
Chrome vil sandsynligvis opdatere sig selv, men vi anbefaler altid at tjekke alligevel.
På Windows og Mac skal du bruge Mere > Hjælp > Om Google Chrome > Opdater Google Chrome.
Der er en separat udgivelsesbulletin for Chrome til iOS, som går til version 104.0.5112.99, men endnu ingen bulletin [2022-08-17T12:00Z], der nævner Chrome til Android.
På iOS skal du kontrollere, at dine App Store-apps er opdaterede. (Brug selve App Store-appen til at gøre dette.)
Du kan se efter enhver kommende opdateringsmeddelelse om Android på Googles Chrome frigives blog
Open source Chromium-varianten af den proprietære Chrome-browser er også i version 104.0.5112.101.
Microsoft Edge sikkerhedsnotater, men i øjeblikket [2022-08-17T12:00Z] siger:
August 16, 2022
Microsoft er opmærksom på den nylige udnyttelse, der eksisterer i naturen. Vi arbejder aktivt på at frigive en sikkerhedsrettelse som rapporteret af Chromium-teamet.
Du kan holde øje med en Edge-opdatering på Microsofts officielle Edge sikkerhedsopdateringer .
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Google Chrome
- Kaspersky
- malware
- Mcafee
- Naked Security
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- sårbarhed
- website sikkerhed
- zephyrnet
![S3 Ep124: Når såkaldte sikkerhedsapps bliver useriøse [lyd + tekst]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-300x157.png "S3 Ep124: Når såkaldte sikkerhedsapps bliver useriøse [lyd + tekst]")
