Google'i uusim värskendus Chrome brauser on väljas, tõrjudes neljaosalise versiooni numbri 104.0.5112.101 (Mac ja Linux) või 104.0.5112.102 (Windows).
Google'i andmetel sisaldab uus versioon 11 turvaparandust, millest ühele on lisatud märkus, et "[selle haavatavuse] ärakasutamine eksisteerib looduses", mis teeb sellest nullpäeva augu.
Nullpäeva nimi tuletab meelde, et oli nulli päevi, mil isegi kõige teadlikumad ja proaktiivsemad kasutajad või süsteemiadministraatorid oleksid võinud pahade kuttide ees paika panna.
Värskenda üksikasju
Värskenduste üksikasjad on napid, arvestades, et Google, nagu ka paljud teised tänapäeval tarnijad, piirab juurdepääsu vea üksikasjadele "kuni enamikku kasutajaid värskendatakse parandusega".
Aga Google'i oma väljalase bülletään loetleb selgesõnaliselt 10 veast 11-st järgmiselt:
- CVE-2022-2852: Kasutage pärast tasuta FedCM-is.
- CVE-2022-2854: Kasutage pärast tasuta SwiftShaderis.
- CVE-2022-2855: Kasutage pärast vaba nurga all.
- CVE-2022-2857: Kasutage pärast tasuta kasutamist Blinkis.
- CVE-2022-2858: Kasutage pärast tasuta sisselogimisvoos.
- CVE-2022-2853: Kuhja puhvri ületäitumine jaotises Allalaadimised.
- CVE-2022-2856: Intentsi ebausaldusväärse sisendi ebapiisav valideerimine. (Null-päev.)
- CVE-2022-2859: Kasutage pärast tasuta Chrome OS Shellis.
- CVE-2022-2860: Ebapiisav poliitika jõustamine küpsistes.
- CVE-2022-2861: Extensions API sobimatu rakendamine.
Nagu näete, põhjustas neist seitse viga mälu halvast haldamisest.
A kasutusvaba haavatavus tähendab, et üks Chrome'i osa andis tagasi mäluploki, mida ta ei kavatsenud enam kasutada, et seda saaks mujal tarkvaras kasutamiseks ümber jaotada...
...ainult selle mälu kasutamist niikuinii jätkata, mistõttu võib üks Chrome'i osa tugineda andmetele, mida ta arvas olevat usaldav, mõistmata, et tarkvara teine osa võib neid andmeid ikkagi rikkuda.
Sageli põhjustavad seda tüüpi vead tarkvara täielikku kokkujooksmist, muutes arvutused või mälule juurdepääsu taastamatul viisil sassi.
Mõnikord võidakse aga tahtlikult käivitada kasutusjärgseid vigu, et tarkvara valesti suunata (nt turvakontrolli vahele jätmine või vale sisendandmete ploki usaldamine) ja volitamata käitumise provotseerimine.
A hunniku puhvri ületäitumine tähendab mäluploki küsimist, kuid välja kirjutamist rohkem andmeid, kui sinna turvaliselt mahub.
See täidab ametlikult eraldatud puhvri ja kirjutab üle järgmises mäluplokis olevad andmed, kuigi seda mälu võib juba mõni muu programmi osa kasutada.
Seetõttu põhjustavad puhvri ületäitmised tavaliselt sarnaseid kõrvalmõjusid kui pärast-vabade vigade kasutamine: enamasti jookseb haavatav programm kokku; mõnikord aga võidakse programm ilma hoiatuseta käivitada ebausaldusväärset koodi.
Nullpäeva auk
Nullpäeva viga CVE-2022-2856 on esitatud mitte üksikasjalikumalt, kui näete ülal: "Intentsi ebausaldusväärse sisendi ebapiisav valideerimine."
Chrome Tahtlus on mehhanism rakenduste käivitamiseks otse veebilehelt, kus veebilehel olevad andmed suunatakse välisesse rakendusse, mis käivitatakse nende andmete töötlemiseks.
Google ei ole esitanud üksikasju selle kohta, milliseid rakendusi või milliseid andmeid see viga võib pahatahtlikult manipuleerida…
…aga oht tundub üsna ilmne, kui teadaolev ärakasutamine hõlmab vaikselt kohalikule rakendusele seda tüüpi riskantsete andmete sisestamist, mis tavaliselt turvakaalutlustel blokeeritakse.
Mida teha?
Tõenäoliselt värskendab Chrome ennast, kuid soovitame alati kontrollida.
Windowsis ja Macis kasutage rohkem > aitama > Google Chrome'i kohta > Värskendage Google Chrome'i.
Selle kohta on eraldi väljalaskebülletään Chrome iOS-ile, mis läheb versioonile 104.0.5112.99, kuid pole veel bülletäänit [2022-08-17T12:00Z], mis mainiks Chrome Androidile.
iOS-is kontrollige, kas teie App Store'i rakendused on ajakohased. (Kasutage selleks rakendust App Store ise.)
Saate vaadata Google'i eelseisvaid Androidi värskendusteateid Chrome vabastab blogi
Patenditud Chrome'i brauseri avatud lähtekoodiga Chromiumi variant on samuti praegu versioonis 104.0.5112.101.
Microsoft Edge turvamärkmed, aga praegu [2022-08-17T12:00Z] ütlevad:
August 16, 2022
Microsoft on teadlik hiljutisest looduses toimunud ärakasutamisest. Nagu Chromiumi tiim teatas, töötame aktiivselt turvapaiga väljalaskmisega.
Saate hoida silma peal Microsofti ametlikul Edge'i värskendusel Edge'i turvavärskendused lehel.
- blockchain
- coingenius
- krüptovaluuta rahakotid
- krüptovahetus
- küberturvalisus
- küberkurjategijad
- Küberturvalisus
- sisejulgeoleku osakond
- digitaalsed rahakotid
- tulemüüri
- Google Chrome
- Kaspersky
- malware
- mcafee
- Alasti turvalisus
- NexBLOC
- Platon
- plato ai
- Platoni andmete intelligentsus
- Platoni mäng
- PlatoData
- platogaming
- VPN
- haavatavus
- kodulehel turvalisus
- sephyrnet
![S3 Ep115: Tõelised krimilood – päev küberkuritegevusega võitleja elus [heli + tekst] PlatoBlockchain Data Intelligence. Vertikaalne otsing. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: Tõelised krimilood – päev küberkuritegevusega võitleja elus [heli + tekst]")
![S3 Ep104: kas haiglate lunavararündajad tuleks eluks ajaks luku taha panna? [Heli + tekst] PlatoBlockchaini andmete luure. Vertikaalne otsing. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep104-cover-1200-360x188.png "S3 Ep104: kas haiglate lunavararündajad tuleks eluks ajaks luku taha panna? [Heli + tekst]")
